blog

Persoonsgegevens uitwisselen met de Britten. Wat moet je regelen?

5 min leestijd13 mei 2021

Maak je gebruik van een hostingprovider in het Verenigd Koninkrijk? Dan is het verstandig om alvast voorzorgsmaatregelen te treffen voor de verwerking en doorgifte van persoonsgegevens. Nu de Britten uit de Europese Unie zijn gestapt, is er weliswaar een handelsovereenkomst gesloten tussen de Europese Unie en het Verenigd Koninkrijk, maar op het gebied van privacy en gegevensbescherming heeft de Europese Unie nog niet besloten of het Verenigd Koninkrijk een passend beschermingsniveau voor persoonsgegevens biedt.

Carolien Lasonder

jurist, mediator

Bekijk meer

De Europese Commissie en het Verenigd Koninkrijk zijn overgangsbepalingen overeengekomen. Daarin staat dat tijdens de aanvullende overgangsperiode van maximaal zes maanden persoonsgegevens nog steeds vrij kunnen worden overgedragen tussen de Europese Unie en het Verenigd Koninkrijk. Tot die tijd is er dus niets aan de hand. Wat er na 1 juli 2021 gebeurt, is nog even onzeker.

Vrije overdracht persoonsgegevens in overgangsperiode

De handelsovereenkomst is van kracht sinds 1 januari 2021. Op dat moment startte ook de overgangsperiode. Deze periode zal de Europese Commissie gebruiken om te beoordelen of het beschermingsniveau in het Verenigd Koninkrijk adequaat is. Zij nemen naar verwachting een adequaatheidsbesluit in 2021. Dan wordt dus bepaald of het Verenigd Koninkrijk een vergelijkbaar beschermingsniveau heeft als de Europese Unie op het gebied van persoonsgegevens. Beide partijen willen daarover tot een besluit komen, maar het blijft de vraag of dat gaat lukken voordat de overgangsperiode is verstreken.

Alvast voorzorgsmaatregelen treffen

De Britse privacytoezichthouder heeft in een statement al aangegeven dat het verstandig is voor organisaties om alvast voorzorgsmaatregelen te treffen. Organisaties kunnen alternatieve overdrachtsmechanismen invoeren, zoals het gebruik van Standard Contractual Clauses (SCC’s). Zo voorkomen organisaties dat de vrije doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk wordt onderbroken of dat deze zonder passende waarborgen worden verwerkt.

Als besluit niet tijdig genomen wordt

Er is helaas geen garantie dat het adequaatheidsbesluit tijdig genomen wordt. Daar moeten organisaties dus ook rekening mee houden. Na het verstrijken van de overgangsperiode gelden de strikte voorwaarden van de Algemene verordening gegevensbescherming (AVG) voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. Het Verenigd Koninkrijk wordt dan binnen de AVG als een zogenoemd ‘derde land’ beschouwd.

Passende waarborgen treffen

Doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk kan alleen als organisaties passende waarborgen treffen voor de uitwisseling van persoonsgegevens. Anders is het verboden. Als organisatie riskeer je dan een boete van maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Organisaties binnen Europa moeten in dat geval dus nadere afspraken maken als zij bijvoorbeeld gebruikmaken van een hostingprovider in het Verenigd Koninkrijk. Daar zijn wel verschillende mogelijkheden voor zoals het aangaan van de EU-Standard Contract Clauses (‘SSC’s’), het implementeren van bindende bedrijfsregels of het vertrouwen op een van de beschikbare afwijkingen in de AVG.

Definitieve versie Standard Contract Clauses

Voor de meeste organisaties zullen de SSC’s de meest voor de hand liggende uitkomst bieden, maar deze kunnen pas gebruikt worden als ze definitief zijn. Voorlopig heeft de Europese Commissie enkel een conceptversie voor nieuwe SCC’s gepubliceerd. Het is de vraag of de nieuwe definitieve SCC’s binnen een half jaar gebruikt kunnen worden.

Neem alvast uw maatregelen

Op het gebied van persoonsgegevens blijft nog steeds het een en ander onzeker. Het is niet duidelijk of er op tijd een adequaatheidsbesluit komt. Daarom adviseer ik om alvast maatregelen te nemen, zoals het sluiten van de SCC’s. Better safe than sorry.

Kortom, ga na of u werkt met partijen die gevestigd zijn in het Verenigde Koninkrijk. Is dit het geval? Zorg er dan voor dat u voorzorgsmaatregelen treft om te voorkomen dat u persoonsgegevens buiten de EER niet in lijn met de AVG verwerkt. Sluit bijvoorbeeld Standard Contractual Clauses met deze partijen en houd het nieuws omtrent het Verenigde Koninkrijk in de gaten.

Dit blog is tot stand gekomen is samenwerking met ICT Recht

Disclaimer

Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp, dan kunt u altijd contact opnemen met een van onze specialisten.  

jurist, mediator

Carolien Lasonder

Ik ben een ervaren jurist, MfN Mediator en coördinator van DAS Professional Services gericht op de zakelijke markt. Voor wie regelmatig juridische vragen heeft, op zoek is naar een in-house jurist of hulp nodig heeft bij een ...

Meer artikelen van Carolien Lasonder

Ook interessant voor je


 Privacyverklaring voorbeeld: wat moet er allemaal in staan?
12 jun 20243 min leestijd

Privacyverklaring voorbeeld: wat moet er allemaal in staan?

Heb je een website en verzamel je persoonsgegevens? Dan ben je verplicht om gebruikers hierover te informeren. Dat doe je met een privacyverklaring. In dit blog leggen we uit wat er allemaal in zo'n privacyverklaring moet staan.


 "Wat je niet hebt", hoef je niet te beschermen"
03 mrt 20233 min leestijd

"Wat je niet hebt", hoef je niet te beschermen"

Met de toename van cybercriminaliteit en datalekken is gegevensbescherming belangrijker dan ooit. Alle reden om het belang privacy in de spotlights te zetten.


 Waarom is privacywetgeving zo belangrijk voor mij als ondernemer?
10 jan 20224 min leestijd

Waarom is privacywetgeving zo belangrijk voor mij als ondernemer?

Alles over privacy wetgeving voor jou als ondernemer.

1 van 3