Brexit en de verwerking van persoonsgegevens onder de AVG: wat verandert er?

05 Jan '21

Auteur(s): Nina Witt,

Onlangs is de veelbesproken Brexitdeal gesloten. De Brexit heeft ook impact op de verwerking van persoonsgegevens. In het Verenigd Koninkrijk (“VK”) zal de Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: GDPR) per 1 januari 2021 niet meer de geldende regelgeving vormen. Wisselt u ook persoonsgegevens uit met partijen in het VK of maakt u bijvoorbeeld gebruik van verwerkers (zoals uw softwareleveranciers) met plaats van vestiging of servers in het VK? Werkt u anderszins samen met partijen in het VK? Zo ja: waarmee dient u dan rekening te houden in 2021?*

*Dit blog is hoofdzakelijk geschreven vanuit het oogpunt van in de EU (feitelijk: EER) gevestigde partijen.

Overgangsperiode en daarna

Allereerst geldt een overgangsperiode van 4 maanden (tot mei 2021), welke periode een keer met twee maanden kan worden verlengd. In deze periode kunt u gegevens uitwisselen met het VK als voorheen, dus zonder Brexit-gerelateerde maatregelen. Met als kanttekening: als het VK de regelgeving op dit gebied in de tussentijd zou veranderen, geldt dit niet meer.

Na deze overgangsperiode, dient u de verwerking van persoonsgegevens door partijen in het VK hetzelfde te behandelen als een verwerking door partijen in andere landen buiten de Europees Economische Ruimte (EER), zoals bijvoorbeeld de Verenigde Staten. Door de vrij recente uitspraak van het Europese Hof van Justitie in de zaak Schrems II, waarin o.a. het Privacy Shield ongeldig is verklaard, krijgt ons privacy team vaak de vraag of gegevens nog wel kunnen worden uitgewisseld tussen partijen gevestigd in de Europees Economische Ruimte en daarbuiten. Het antwoord is: dat verschilt per geval en dit is nog niet helemaal uitgekristalliseerd. In ieder geval dient deze verwerking altijd nader te worden bekeken en daar helpen wij graag bij. Zonder nu al op al die details in te gaan (want dat is eigenlijk toch nog wel ‘van latere zorg’), geven wij u wel alvast een aantal aandachtspunten en tips om u toch alvast voor te bereiden op de mogelijke scenario’s.   

Het einde van de overgangsperiode betekent onder meer het volgende.

  1. Er zijn aanvullende maatregelen nodig om een adequaat beschermingsniveau ter zake van de persoonsgegevens te waarborgen, zoals SCC’s (Standard Contractual Clauses; artikel 46 AVG). Er verandert echter waarschijnlijk niet zoveel als er een zogeheten adequaatheidsbesluit van de Europese Commissie volgt, dan wordt er namelijk een passend beschermingsniveau geacht te zijn in het VK en is daarmee al aan de voorwaarden voor doorgifte buiten de EER voldaan. Dit neemt niet weg dat de hieronder te noemen punten (b en c) en daaropvolgende tips nog steeds gelden.  
    • Bij gebreke van een adequaatheidsbesluit zijn SCC’s alleen niet voldoende. Meer onderzoek naar het beschermingsniveau in het VK (en eventueel aanvullende maatregelen) is dan vereist. Neem voor meer informatie hierover contact met ons op. De AVG biedt wel de nodige uitzonderingen, maar die moeten restrictief (en vaak tijdelijk) worden toegepast. Ook in dat geval geldt dat een analyse van de gegevensverwerking en vastlegging daarvan geboden zijn, alsmede het treffen van passende maatregelen (of in voorkomend geval staken van de verwerking).
    • Het ontvangen van persoonsgegevens vanuit het VK is toegestaan. Wel moet de Europese ontvanger uiteraard zelf voldoen aan alle vereisten van de AVG ter zake van de verwerking die dan onder haar hoede plaatsvindt. Veelal zal dit dan toch neerkomen op het maken van goede contractuele afspraken met de partij in het VK, in verband met de verplichtingen en aansprakelijkheid die dat meebrengt.
  2. Uw verwerkingsregister én uw privacyverklaring moeten worden geüpdatet: hierin moet bijvoorbeeld worden aangegeven bij welke verwerkingen sprake is van doorgifte aan het VK en welke beveiligingsmaatregelen er op dat punt zijn getroffen.
    Betrokkenen (wiens gegevens worden verwerkt) moeten op grond van de AVG over diverse zaken worden geïnformeerd, zoals waarvoor hun persoonsgegevens worden gebruikt en door wie. Maar bijvoorbeeld ook over wat hun rechten zijn en hoe zij deze kunnen uitoefenen.
  3. Wanneer u gebruik maakte van het One-Stop-Shop principe, waarbij één autoriteit in de EER bevoegd is ter zake van verwerking van persoonsgegevens door meerdere partijen binnen de EER, dan kan dat niet meer waar dit het Verenigd Koninkrijk en haar toezichthouder (ICO) betrof. Om hier toch nog gebruik van te kunnen maken, kan een andere hoofdvestiging in de EER worden opgericht of aangewezen (waarbij aan de nodige voorwaarden moet worden voldaan).  

N.B. Entiteiten gevestigd in het VK die persoonsgegevens verwerken van EU-burgers dienen een vertegenwoordiger binnen de EU aan te wijzen, waar o.a. autoriteiten en burgers terecht kunnen met vragen en klachten.   

Wat kunt u nu het beste (alvast) doen?

Het is nog niet duidelijk wat de situatie na 1 mei (of 1 juli na verlenging) precies zal zijn. Komt er een adequaatheidsbesluit (zie hierboven onder a) of gaat er toch een en ander veranderen? Ook omdat de huidige overgangsperiode aan voorwaarden is verbonden als voornoemd (en – theoretisch – tussentijds zou kunnen ophouden), is het verstandig om toch alvast wat stappen te zetten om indien nodig straks snel te kunnen schakelen naar de nieuwe situatie.

Wij geven u graag een aantal tips waar u alvast mee aan de slag kunt:

  1. Inventariseer met welke partijen in het VK u een contractuele relatie heeft;
  2. Controleer of in samenhang met die contracten persoonsgegevens worden uitgewisseld, opgeslagen of anderszins verwerkt (dat is al snel het geval, ook contactgegevens vallen hieronder);
  3. Breng in kaart welke categorieën van persoonsgegevens er worden verwerkt en maak een onderscheid tussen gewone, gevoelige en bijzondere persoonsgegevens;
  4. Bepaal op basis van o.a. de gevoeligheid en hoeveelheid gegevens prioriteiten voor het oppakken van dit onderwerp (maak bijvoorbeeld een aantal categorieën, zoals: spoed/minder spoed maar wel aandacht nodig/lage relevantie);
  5. Bepaal welke verwerkingen noodzakelijk zijn en niet buiten het VK zouden kunnen plaatsvinden en denk alvast na over hoe je er – zonder een adequaatheidsbesluit – voor zou kunnen zorgen dat de verwerking van persoonsgegevens zal voldoen aan de AVG: welke stappen moeten dan in ieder geval worden genomen?
  6. Denk ook bij het aangaan van nieuwe overeenkomsten al na over de nieuwe situatie en maak daarover direct al afspraken. Zoals dat en (eventueel op hoofdlijnen) hoe jullie ervoor gaan zorgen dat de verwerking van persoonsgegevens bij gebrek aan een adequaatheidsbesluit zal voldoen aan de AVG.
  • Overleg met de FG / Privacy officer is aangewezen.
  • Leg voornoemde analyse vast in een document (i.v.m. de verantwoordingsplicht onder de AVG).

Hulp nodig?

Vragen over de Brexit of hulp nodig bij het verrichten van bovengenoemde analyse of het maken van de juiste afspraken of aanpassingen in uw privacydocumentatie? Andere vragen over de Brexit? Onze privacy- én onze Brexit-specialisten, in voorkomend geval samen, helpen u graag. Mail naar n.witt@ploum.nl, dan nemen wij z.s.m. contact met u op.

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven op kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven op kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.