blog
Persoonsgegevens uitwisselen met de Britten. Wat moet je regelen?
Maak je gebruik van een hostingprovider in het Verenigd Koninkrijk? Dan is het verstandig om alvast voorzorgsmaatregelen te treffen voor de verwerking en doorgifte van persoonsgegevens. Nu de Britten uit de Europese Unie zijn gestapt, is er weliswaar een handelsovereenkomst gesloten tussen de Europese Unie en het Verenigd Koninkrijk, maar op het gebied van privacy en gegevensbescherming heeft de Europese Unie nog niet besloten of het Verenigd Koninkrijk een passend beschermingsniveau voor persoonsgegevens biedt.
De Europese Commissie en het Verenigd Koninkrijk zijn overgangsbepalingen overeengekomen. Daarin staat dat tijdens de aanvullende overgangsperiode van maximaal zes maanden persoonsgegevens nog steeds vrij kunnen worden overgedragen tussen de Europese Unie en het Verenigd Koninkrijk. Tot die tijd is er dus niets aan de hand. Wat er na 1 juli 2021 gebeurt, is nog even onzeker.
Vrije overdracht persoonsgegevens in overgangsperiode
De handelsovereenkomst is van kracht sinds 1 januari 2021. Op dat moment startte ook de overgangsperiode. Deze periode zal de Europese Commissie gebruiken om te beoordelen of het beschermingsniveau in het Verenigd Koninkrijk adequaat is. Zij nemen naar verwachting een adequaatheidsbesluit in 2021. Dan wordt dus bepaald of het Verenigd Koninkrijk een vergelijkbaar beschermingsniveau heeft als de Europese Unie op het gebied van persoonsgegevens. Beide partijen willen daarover tot een besluit komen, maar het blijft de vraag of dat gaat lukken voordat de overgangsperiode is verstreken.
Alvast voorzorgsmaatregelen treffen
De Britse privacytoezichthouder heeft in een statement al aangegeven dat het verstandig is voor organisaties om alvast voorzorgsmaatregelen te treffen. Organisaties kunnen alternatieve overdrachtsmechanismen invoeren, zoals het gebruik van Standard Contractual Clauses (SCC’s). Zo voorkomen organisaties dat de vrije doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk wordt onderbroken of dat deze zonder passende waarborgen worden verwerkt.
Als besluit niet tijdig genomen wordt
Er is helaas geen garantie dat het adequaatheidsbesluit tijdig genomen wordt. Daar moeten organisaties dus ook rekening mee houden. Na het verstrijken van de overgangsperiode gelden de strikte voorwaarden van de Algemene verordening gegevensbescherming (AVG) voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. Het Verenigd Koninkrijk wordt dan binnen de AVG als een zogenoemd ‘derde land’ beschouwd.
Passende waarborgen treffen
Doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk kan alleen als organisaties passende waarborgen treffen voor de uitwisseling van persoonsgegevens. Anders is het verboden. Als organisatie riskeer je dan een boete van maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Organisaties binnen Europa moeten in dat geval dus nadere afspraken maken als zij bijvoorbeeld gebruikmaken van een hostingprovider in het Verenigd Koninkrijk. Daar zijn wel verschillende mogelijkheden voor zoals het aangaan van de EU-Standard Contract Clauses (‘SSC’s’), het implementeren van bindende bedrijfsregels of het vertrouwen op een van de beschikbare afwijkingen in de AVG.
Definitieve versie Standard Contract Clauses
Voor de meeste organisaties zullen de SSC’s de meest voor de hand liggende uitkomst bieden, maar deze kunnen pas gebruikt worden als ze definitief zijn. Voorlopig heeft de Europese Commissie enkel een conceptversie voor nieuwe SCC’s gepubliceerd. Het is de vraag of de nieuwe definitieve SCC’s binnen een half jaar gebruikt kunnen worden.
Neem alvast uw maatregelen
Op het gebied van persoonsgegevens blijft nog steeds het een en ander onzeker. Het is niet duidelijk of er op tijd een adequaatheidsbesluit komt. Daarom adviseer ik om alvast maatregelen te nemen, zoals het sluiten van de SCC’s. Better safe than sorry.
Kortom, ga na of u werkt met partijen die gevestigd zijn in het Verenigde Koninkrijk. Is dit het geval? Zorg er dan voor dat u voorzorgsmaatregelen treft om te voorkomen dat u persoonsgegevens buiten de EER niet in lijn met de AVG verwerkt. Sluit bijvoorbeeld Standard Contractual Clauses met deze partijen en houd het nieuws omtrent het Verenigde Koninkrijk in de gaten.
Dit blog is tot stand gekomen is samenwerking met ICT Recht
Disclaimer
Dit blog schetst de algemene regels en uitgangspunten. Uiteraard kan er in specifieke situaties sprake zijn van uitzonderingen. Heeft u vragen over dit onderwerp, dan kunt u altijd contact opnemen met een van onze specialisten.
Carolien Lasonder
Ik ben een ervaren jurist, MfN Mediator en coördinator van DAS Professional Services gericht op de zakelijke markt. Voor wie regelmatig juridische vragen heeft, op zoek is naar een in-house jurist of hulp nodig heeft bij een ...
Meer artikelen van Carolien Lasonder