Vrije doorgifte persoonsgegevens tussen Europa en VK gewaarborgd

Wat is een adequaatheidsbesluit?

Persoonsgegevens worden niet overal ter wereld beschermd op een niveau dat we in de EU gewend zijn. Binnen de EU geldt één pakket regels: de AVG. Daarom is het mogelijk persoonsgegevens te (laten) verwerken in bijvoorbeeld Finland of Cyprus. Voor verkeer naar een land buiten de EU gelden andere regels. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen van de Europese Economische Ruimte (EER). IJsland, Liechtenstein en Noorwegen behoren tot de EER. Doorgifte van persoonsgegevens vanuit Nederland naar een derde land is in principe alleen toegestaan als het derde land een passend niveau van gegevensbescherming biedt.

De Europese Commissie kan een adequaatheidsbesluit nemen als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt. Dit betekent dat de Europese Commissie heeft vastgesteld dat het land een vergelijkbaar niveau van gegevensbescherming biedt als de AVG. De lijst van landen met een passend beschermingsniveau vindt u hier.

Evaluatie bescherming persoonsgegevens

De afgelopen maanden heeft de Europese Commissie de wetgeving en de praktijk van het VK rondom de bescherming van persoonsgegevens geëvalueerd. De resultaten van deze beoordeling zijn gepubliceerd in twee ontwerp-adequaatheidsbesluiten voor het VK: het ene in het kader van de GDPR en het andere in het kader van de richtlijn gegevensbescherming bij rechtshandhaving. In de ontwerp-besluiten concludeerde de Europese Commissie dat het VK een passend niveau van bescherming van persoonsgegevens biedt. De volgende stap in het vaststellingsproces was dat de European Data Protection Board een niet-bindend advies uitbracht over het ontwerp. Daarna heeft een comité van vertegenwoordigers van EU-lidstaten het laatste woord gehad over de vraag of de ontwerp-besluiten formeel kunnen worden aangenomen. En dat is uiteindelijk gebeurd.

'Sunset'-clausule

Interessant is dat de Europese Commissie een zogenoemde 'sunset'-clausule heeft opgenomen, wat inhoudt dat de adequaatheidsbesluiten na vier jaar automatisch verlopen. Na het verstrijken van deze termijn moeten de besluiten hernieuwd worden. De komende vier jaar zal de Europese Commissie de juridische situatie in het VK aandachtig blijven monitoren en waar nodig ingrijpen, als het VK niet langer een passend niveau van bescherming van persoonsgegevens biedt.

Wat betekent dit voor uw organisatie?

Met deze adequaatheidsbesluiten is duidelijkheid gegeven hoe om te gaan met doorgifte van persoonsgegevens tussen de EU en het VK na 1 juli 2021. Organisaties binnen de EER kunnen nu dus vrijelijk persoonsgegevens doorgeven naar het VK zonder additionele maatregelen te treffen, zoals bindende bedrijfsvoorschriften ('Binding Corporate Rules') of standaardbepalingen over gegevensbescherming ('Standard Contractual Clauses'). Wel moeten organisaties vanzelfsprekend aan de AVG-vereisten voldoen. Dat kan onder meer door het nemen van de volgende stappen:

1. Werk uw verwerkingsregister bij en leg intern vast op basis waarvan de gegevens naar het VK worden overgedragen.
2. Pas uw privacyverklaring aan om uw betrokkenen hiervan op de hoogte te stellen.
3. Zorg dat uw risicomanagementprocessen omtrent derde partijen up to date zijn.

Brexit-desk PwC

De Brexit-experts van PwC kunnen u helpen bij het bepalen van de exacte eisen waaraan uw gegevensbeschermingskader moet voldoen. Ook bieden zij hulp bij de voorbereidingen due u moet treffen en bij het opzetten van processen en procedures om ervoor te zorgen dat uw bedrijf aan de vereisten voldoet.