23/02/21
De brexit-deal verduidelijkt hoe de handelsbetrekkingen tussen de Europese Unie (EU) en het Verenigd Koninkrijk (VK) er vanaf 1 januari 2021 uitzien. Een van de punten waarover echter nog geen overeenstemming is bereikt, is het verkeer van persoonsgegevens tussen de EU en het VK. 'Zelfs als uw organisatie nu AVG-conform is, moet u nagaan wat de brexit-deal betekent voor uw gegevensbeschermingskader en welke voorbereidingen u moet treffen', waarschuwen PwC-experts Bram van Tiel, Yvette van Gemerden en Sandra Mochèl.
De brexit-deal lost het punt van gegevensverkeer tussen de EU en het VK eenvoudigweg niet op. In plaats van een overeenkomst geldt een nieuwe overgangsperiode. Wat het verkeer van persoonsgegevens betreft, zijn de partijen overeengekomen dat het VK tijdens een overgangsperiode van zes maanden door de EU niet als een derde land zal behandelen. Dit betekent dat persoonsgegevens tot 1 juli 2021 aan het VK kunnen worden doorgegeven op basis van de Algemene Verordening Gegevensbescherming (AVG). De vraag die nog open staat, is wat er na deze respijtperiode zal gebeuren.
De afgelopen maanden heeft de Europese Commissie de wetgeving en de praktijk van het VK op het gebied van de bescherming van persoonsgegevens geëvalueerd. De resultaten van deze beoordeling zijn gepubliceerd in twee ontwerp-adequaatheidsbesluiten voor het VK: het ene in het kader van de GDPR en het andere in het kader van de richtlijn gegevensbescherming bij rechtshandhaving.
In de ontwerp-adequaatheidsbesluiten concludeert de EU-Commissie dat het VK een passend niveau van bescherming van persoonsgegevens biedt. De volgende stap in dit vaststellingsproces is dat de European Data Protection Board een niet-bindend advies uitbrengt over het ontwerp. Daarna heeft een comité van vertegenwoordigers van EU-lidstaten het laatste woord over de vraag of de ontwerp-adequaatheidsbesluiten formeel kunnen worden aangenomen.
Wanneer met deze procedures rekening gehouden is, zijn twee scenario's mogelijk na afloop van de respijtperiode op 1 juli 2021. In het eerste scenario kan de Europese Commissie besluiten om (de definitieve versie van) de ontwerp-adequaatheidsbesluiten goed te keuren en daarmee te erkennen dat de Britse wetgeving een niveau van gegevensbescherming biedt dat overeenkomt met de GDPR. In het tweede scenario wordt geen definitief besluit inzake adequaatheid genomen en zijn alternatieve mechanismen voor de doorgifte van persoonsgegevens naar het VK nodig.
Persoonlijke gegevens worden niet overal ter wereld beschermd op een niveau dat we in de EU gewend zijn. Binnen de EU geldt één pakket regels: de AVG. Daarom is het mogelijk om persoonsgegevens te verwerken of te laten verwerken in bijvoorbeeld Finland of Cyprus. Voor verkeer naar een land buiten de EU gelden andere regels. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen van de Europese Economische Ruimte (EER). IJsland, Liechtenstein en Noorwegen behoren tot de EER. Doorgifte van persoonsgegevens vanuit Nederland naar een derde land is in principe alleen toegestaan als het derde land een passend niveau van gegevensbescherming biedt.
De Europese Commissie kan een adequaat besluit nemen als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt. Dit betekent dat de Europese Commissie heeft vastgesteld dat het land een vergelijkbaar niveau van gegevensbescherming biedt als de AVG. De lijst van landen met een passend beschermingsniveau vindt u hier.
Aangezien het VK na de respijtperiode van zes maanden als derde land zal worden aangemerkt, kan de EU het VK als een veilig land met een passend beschermingsniveau aanwijzen. De EU bepaalt dus of een derde land een gelijkwaardig niveau van bescherming van de persoonlijke levenssfeer biedt als de EER, waardoor het vrije verkeer van persoonsgegevens wordt gewaarborgd. Het valt echter nog te bezien of de Europese Commissie het VK vóór het einde van de respijtperiode van zes maanden inderdaad als een geschikt land zal aanmerken.
Als er voor het einde van de respijtperiode geen formeel besluit wordt genomen over de gepastheid zal dit ernstige gevolgen hebben voor organisaties. Als de overgangsperiode afloopt zonder dat er verdere afspraken worden gemaakt, zullen Europese organisaties er niet voor kunnen zorgen dat het gegevensverkeer naar het VK in overeenstemming is met de AVG. Er moeten alternatieve overdrachtsmechanismen worden ingevoerd, zoals de Standard Contractual Clauses (SCC) en Binding Corporate Rules (BCR), om het verkeer van persoonsgegevens van de EU naar het VK mogelijk te maken.
De SCC zijn in feite modelcontracten die door de Europese Commissie zijn goedgekeurd. Zij bieden aanvullende, contractuele waarborgen voor gegevensbescherming bij de doorgifte van persoonsgegevens van de EER naar een derde land.
De SCC kunnen echter niet zomaar worden gebruikt. Aangezien het Privacy Shield ongeldig is verklaard, is een beoordeling nodig van de privacyrisico's die zich kunnen voordoen wanneer overheidsinstanties van het land waarnaar de gegevens worden doorgegeven, toegang krijgen tot persoonsgegevens, en hoe dergelijke risico's kunnen worden beperkt.
De European Data Protection Board heeft een richtlijn opgesteld waarin staat hoe de risico's van derde landen kunnen worden geïdentificeerd en beoordeeld. We verwachten dat er binnen afzienbare tijd nieuwe SCC worden ingevoerd. Het is belangrijk deze ontwikkelingen nauwlettend in de gaten te houden.
Binding Corporate Rules (BCR) is het eigen beleid dat een groep bedrijven hanteert voor de bescherming en interne uitwisseling van persoonsgegevens. Binnen de groep wordt voorzien in passende waarborgen voor de overdracht van persoonsgegevens binnen en buiten de EER.
Controleer of de Britse toezichthouder op de privacy (ICO) is aangewezen als de belangrijkste toezichthoudende autoriteit. Er moet dan een nieuwe hoofdtoezichthouder voor het BCR worden aangewezen.
Als u BCR wilt implementeren, moet de Autoriteit Persoonsgegevens (AP) deze eerst goedkeuren. De aangegeven wachttijd voor goedkeuring van BCR door de toezichthoudende autoriteit is vijf tot zeven jaar. Daarom biedt BCR geen oplossing op korte termijn, maar is het een robuuste oplossing op lange termijn voor multinationals die persoonlijke gegevens willen delen met kantoren over de hele wereld.
Zonder een adequaatheidsbesluit heeft het verkeer van persoonsgegevens van de EU naar het VK alternatieve overdrachtsmechanismen nodig. In de meeste gevallen zou het nodig zijn om voor elke doorgifte van persoonsgegevens SCC in te voeren. Als organisatie kunt u tijdens de respijtperiode de volgende vijf stappen zetten om u voor te bereiden op de mogelijke situatie dat het VK niet als een adequaat land wordt aangemerkt:
Bepaal hoe u verder kunt gaan met de doorgifte van persoonsgegevens naar het VK na de respijtperiode, als er (nog) geen besluit over het passend karakter van de gegevens is genomen. Mogelijk kunt u dit doen door gebruik te maken van SCC of BCR (alleen als u al gebruikmaakt van BCR).
Indien u SCC moet implementeren, kunnen aanvullende technische en organisatorische maatregelen nodig zijn. Zorg ervoor dat er een risicobeoordeling wordt uitgevoerd (of bijgewerkt) om inzicht te krijgen in de privacyrisico's en de maatregelen om die risico's te beperken (bijv. encryptie, pseudonimisering en privacyverklaring of -certificering).
Werk uw registratie bij en leg intern vast op basis waarvan de gegevens naar het VK worden overgedragen.
Pas uw privacyverklaring aan om uw betrokkenen hiervan op de hoogte te stellen.
Organisaties moeten zich voorbereiden op de onwenselijke situatie dat er geen adequaatheidsbesluit is na afloop van de respijtperiode, voor zover zij dat nog niet hebben gedaan.
De Brexit-experts van PwC kunnen u helpen bij het bepalen van de exacte eisen waaraan uw gegevensbeschermingskader moet voldoen. Ook bieden zij hulp bij de voorbereidingen due u moet treffen en bij het opzetten van processen en procedures om ervoor te zorgen dat uw bedrijf aan de vereisten voldoet.