Uitwisseling persoonsgegevens met Verenigd Koninkrijk bij harde Brexit niet meer vanzelfsprekend

17-09-2019

David de NoodHet privacyregime van het Verenigd Koninkrijk is volledig geënt op de AVG. Maar toch is bij een harde Brexit het vrijelijk stromen van persoonsgegevens naar de Britten – bijvoorbeeld als onderdeel van het normale handelsverkeer – niet meer vanzelfsprekend. Het Verenigd Koninkrijk stapt immers uit de Europese Unie en wordt daardoor een zogeheten 'derde land' waarmee alleen onder voorwaarden gegevens mee mogen worden gedeeld. VNO-NCW en MKB-Nederland roepen bij een harde Brexit op tot snelle totstandkoming van een adequaatheidsbesluit.

 

Uitwisseling van persoonsgegevens ook na Brexit mogelijk
Bedrijven kunnen zich wapenen tegen de Brexit: contractueel via Europese 'modelcontracten' danwel via interne – door de toezichthouder getoetste – bindende bedrijfsregels, zogeheten 'BCR's'. Daarnaast kan in sommige gevallen nog gebruik worden gemaakt van een aantal algemene uitzonderingen.
Hier staan de mogelijkheden op een rijtje:

 

  • BCR's vergen een hoog niveau van compliance en het duurt lang om deze door de toezichthouder goedgekeurd te krijgen. Daarom zijn er maar relatief weinig bedrijven die hierover beschikken. Bovendien zien ze niet op data die buiten het bedrijf wordt gedeeld. Er bestaan ook BCR's voor verwerkers;

 

  • Modelcontracten zijn laagdrempelig en bruikbaar voor Nederlandse bedrijven met vestigingen in het Verenigd Koninkrijk en Nederlandse vestigingen van Britse bedrijven. Tevens kunnen Nederlandse bedrijven met Britse verwerkers (cloud hoster, salarisadministratiebureau's, etc.) er gebruik van maken;

    NB.
     Voor de verhouding tussen verantwoordelijken in derde landen, zoals straks het Verenigd Koninkrijk, en verwérkers in Nederland zijn geen modelcontracten beschikbaar. Dat zet Nederlandse/Europese verwerkers en onze cloud-industrie op achterstand en vraagt om een sluitende oplossing.

 

  • Algemene uitzonderingen in de AVG. Bedrijven kunnen persoonsgegevens van consumenten of werknemers naar het Verenigd Koninkrijk sturen als dat nodig is voor de uitvoering van de overeenkomst met die betrokkene (bijvoorbeeld een reisbureau of expat). Ook kan soms toestemming van de betrokkene worden gevraagd.

 

Oproep voor 'catch all'-oplossing door de Europese Commissie: het adequaatheidsbesluit
Hoewel de BCR's, modelcontracten en enkele uitzonderingen dus een uitweg bieden, is dit kostbaar en tijdrovend. Daarom zetten VNO-NCW en MKB-Nederland in op de andere belangrijke mogelijkheid tot gegevensuitwisseling: het 'adequaatheidsbesluit', te nemen door de Europese Commissie.

 

Wanneer de Europese Commissie besluit dat een derde land zoals het Verenigd Koninkrijk een 'adequaat' gegevensbeschermingsregime heeft, kunnen persoonsgegevens vrij worden uitgewisseld. Dergelijke besluiten zijn al genomen voor Zwitserland en Japan. Het tot stand komen van een adequaatheidsbesluit voor het Verenigd Koninkrijk is bij een harde Brexit onontbeerlijk. Dan hoeven geen tijd, kosten en moeite te worden gestoken in BCR's, modelcontracten of allerlei ander juridisch uitzoekwerk en vastlegging. Bovendien helpt het enorm dat het Verenigd Koninkrijk de AVG materieel vrijwel ongewijzigd heeft overgenomen.

 

Tot nu toe is de Europese Commissie nog niet begonnen dat besluit op te stellen, daar was de overgangstermijn in het concept-Brexitverdrag voor bedoeld. Politiek-strategisch gezien ligt het ook niet voor de hand om die besluitvorming eerder te starten, want beginnen met het opstellen van zo'n besluit nog voor een 'Brexit deal' zou de onderhandelingspositie van de EU verzwakken. Ondernemers moeten echter niet opdraaien voor het politieke spel tussen het VK en de EU!

 

Daarom roepen VNO-NCW en MKB-Nederland de Europese Commissie op om zo snel mogelijk duidelijkheid te verschaffen over een traject naar een adequaatheidsbesluit, en een overgangstermijn in te stellen van om te beginnen één jaar, waarbinnen de Europese Commissie een adequaatheidsbesluit kan uitwerken met Groot Brittannië.

 

Verder zouden de gegevensbeschermingsautoriteiten voor de speciale groep bedrijven (verwerkers voor controllers uit het Verenigd Koninkrijk, die gegevens naar de Britten terug moeten zenden) waarvoor geen modelcontracten bestaan, deze z.s.m. in het leven moeten roepen. Idem geldt voor het modelcontract verwerker-subverwerker.