https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Overig/brexit-3870554_1920.jpg

Brexit en de verwerking van persoonsgegevens onder de AVG: wat verandert er?

05 jan '21

Update 28-6-2021
Het adequaatheidsbesluit voor het Verenigd Koninkrijk is vandaag aangenomen voor de duur van (initieel) vier jaar.
Update mei 2021:

Er wordt gewerkt aan een Europees adequaatheidsbesluit. Wanneer dit adequaatheidsbesluit wordt genomen is het niveau van gegevensbescherming in het Verenigd Koninkrijk passend genoeg geacht en is doorgifte van persoonsgegevens naar het VK onverminderd toegestaan. Wanneer het concept-adequaatheidsbesluit in de huidige vorm wordt aangenomen, wordt dit besluit genomen voor de duur van 4 jaren, met de mogelijkheid nog eens 4 jaren te verlengen. Het is in de toekomst dus mogelijk dat de termijn afloopt en niet wordt verlengd. Wanneer dat gebeurt moet dus alsnog worden teruggevallen op bijv. het gebruik van SCC’s (zie hieronder). Het European Data Protection Board heeft nog een aantal adviezen aan de Europese Commissie gegeven ter zake van het huidige conceptbesluit. Het is nog niet zeker wanneer hierover nader wordt besloten.

Daarnaast is het niet zo dat wanneer dit adequaatheidsbesluit wordt aangenomen, bedrijven binnen de EER verder niets meer hoeven te regelen m.b.t. gegevensdoorgifte aan het VK. Zo blijft het belangrijk om uw verwerkingsregister en uw privacyverklaring te updaten en een vertegenwoordiger in de EU aan te wijzen (zie hieronder).

Onlangs is de veelbesproken Brexitdeal gesloten. De Brexit heeft ook impact op de verwerking van persoonsgegevens. In het Verenigd Koninkrijk (“VK”) zal de Algemene Verordening Gegevensbescherming (“AVG” of in het Engels: GDPR) per 1 januari 2021 niet meer de geldende regelgeving vormen. Wisselt u ook persoonsgegevens uit met partijen in het VK of maakt u bijvoorbeeld gebruik van verwerkers (zoals uw softwareleveranciers) met plaats van vestiging of servers in het VK? Werkt u anderszins samen met partijen in het VK? Zo ja: waarmee dient u dan rekening te houden in 2021?*

*Dit blog is hoofdzakelijk geschreven vanuit het oogpunt van in de EU (feitelijk: EER) gevestigde partijen.

Overgangsperiode en daarna

Allereerst geldt een overgangsperiode van 4 maanden (tot mei 2021), welke periode een keer met twee maanden kan worden verlengd. In deze periode kunt u gegevens uitwisselen met het VK als voorheen, dus zonder Brexit-gerelateerde maatregelen. Met als kanttekening: als het VK de regelgeving op dit gebied in de tussentijd zou veranderen, geldt dit niet meer.

Na deze overgangsperiode, dient u de verwerking van persoonsgegevens door partijen in het VK hetzelfde te behandelen als een verwerking door partijen in andere landen buiten de Europees Economische Ruimte (EER), zoals bijvoorbeeld de Verenigde Staten. Door de vrij recente uitspraak van het Europese Hof van Justitie in de zaak Schrems II, waarin o.a. het Privacy Shield ongeldig is verklaard, krijgt ons privacy team vaak de vraag of gegevens nog wel kunnen worden uitgewisseld tussen partijen gevestigd in de Europees Economische Ruimte en daarbuiten. Het antwoord is: dat verschilt per geval en dit is nog niet helemaal uitgekristalliseerd. In ieder geval dient deze verwerking altijd nader te worden bekeken en daar helpen wij graag bij. Zonder nu al op al die details in te gaan (want dat is eigenlijk toch nog wel ‘van latere zorg’), geven wij u wel alvast een aantal aandachtspunten en tips om u toch alvast voor te bereiden op de mogelijke scenario’s.   

Het einde van de overgangsperiode betekent onder meer het volgende.

  1. Er zijn aanvullende maatregelen nodig om een adequaat beschermingsniveau ter zake van de persoonsgegevens te waarborgen, zoals SCC’s (Standard Contractual Clauses; artikel 46 AVG). Er verandert echter waarschijnlijk niet zoveel als er een zogeheten adequaatheidsbesluit van de Europese Commissie volgt, dan wordt er namelijk een passend beschermingsniveau geacht te zijn in het VK en is daarmee al aan de voorwaarden voor doorgifte buiten de EER voldaan. Dit neemt niet weg dat de hieronder te noemen punten (2 en 3) en daaropvolgende tips nog steeds gelden.  
    • Bij gebreke van een adequaatheidsbesluit zijn SCC’s alleen niet voldoende. Meer onderzoek naar het beschermingsniveau in het VK (en eventueel aanvullende maatregelen) is dan vereist. Neem voor meer informatie hierover contact met ons op. De AVG biedt wel de nodige uitzonderingen, maar die moeten restrictief (en vaak tijdelijk) worden toegepast. Ook in dat geval geldt dat een analyse van de gegevensverwerking en vastlegging daarvan geboden zijn, alsmede het treffen van passende maatregelen (of in voorkomend geval staken van de verwerking).
    • Het ontvangen van persoonsgegevens vanuit het VK is toegestaan. Wel moet de Europese ontvanger uiteraard zelf voldoen aan alle vereisten van de AVG ter zake van de verwerking die dan onder haar hoede plaatsvindt. Veelal zal dit dan toch neerkomen op het maken van goede contractuele afspraken met de partij in het VK, in verband met de verplichtingen en aansprakelijkheid die dat meebrengt.
  2. Uw verwerkingsregister én uw privacyverklaring moeten worden geüpdatet: hierin moet bijvoorbeeld worden aangegeven bij welke verwerkingen sprake is van doorgifte aan het VK en welke beveiligingsmaatregelen er op dat punt zijn getroffen.
    Betrokkenen (wiens gegevens worden verwerkt) moeten op grond van de AVG over diverse zaken worden geïnformeerd, zoals waarvoor hun persoonsgegevens worden gebruikt en door wie. Maar bijvoorbeeld ook over wat hun rechten zijn en hoe zij deze kunnen uitoefenen.
  3. Wanneer u gebruik maakte van het One-Stop-Shop principe, waarbij één autoriteit in de EER bevoegd is ter zake van verwerking van persoonsgegevens door meerdere partijen binnen de EER, dan kan dat niet meer waar dit het Verenigd Koninkrijk en haar toezichthouder (ICO) betrof. Om hier toch nog gebruik van te kunnen maken, kan een andere hoofdvestiging in de EER worden opgericht of aangewezen (waarbij aan de nodige voorwaarden moet worden voldaan).  

N.B. Entiteiten gevestigd in het VK die persoonsgegevens verwerken van EU-burgers dienen een vertegenwoordiger binnen de EU aan te wijzen, waar o.a. autoriteiten en burgers terecht kunnen met vragen en klachten.   

Wat kunt u nu het beste (alvast) doen?

Het is nog niet duidelijk wat de situatie na 1 mei (of 1 juli na verlenging) precies zal zijn. Komt er een adequaatheidsbesluit (zie hierboven onder 1) of gaat er toch een en ander veranderen? Ook omdat de huidige overgangsperiode aan voorwaarden is verbonden als voornoemd (en – theoretisch – tussentijds zou kunnen ophouden), is het verstandig om toch alvast wat stappen te zetten om indien nodig straks snel te kunnen schakelen naar de nieuwe situatie.

Wij geven u graag een aantal tips waar u alvast mee aan de slag kunt:

  1. Inventariseer met welke partijen in het VK u een contractuele relatie heeft;
  2. Controleer of in samenhang met die contracten persoonsgegevens worden uitgewisseld, opgeslagen of anderszins verwerkt (dat is al snel het geval, ook contactgegevens vallen hieronder);
  3. Breng in kaart welke categorieën van persoonsgegevens er worden verwerkt en maak een onderscheid tussen gewone, gevoelige en bijzondere persoonsgegevens;
  4. Bepaal op basis van o.a. de gevoeligheid en hoeveelheid gegevens prioriteiten voor het oppakken van dit onderwerp (maak bijvoorbeeld een aantal categorieën, zoals: spoed/minder spoed maar wel aandacht nodig/lage relevantie);
  5. Bepaal welke verwerkingen noodzakelijk zijn en niet buiten het VK zouden kunnen plaatsvinden en denk alvast na over hoe je er – zonder een adequaatheidsbesluit – voor zou kunnen zorgen dat de verwerking van persoonsgegevens zal voldoen aan de AVG: welke stappen moeten dan in ieder geval worden genomen?
  6. Denk ook bij het aangaan van nieuwe overeenkomsten al na over de nieuwe situatie en maak daarover direct al afspraken. Zoals dat en (eventueel op hoofdlijnen) hoe jullie ervoor gaan zorgen dat de verwerking van persoonsgegevens bij gebrek aan een adequaatheidsbesluit zal voldoen aan de AVG.
  • Overleg met de FG / Privacy officer is aangewezen.
  • Leg voornoemde analyse vast in een document (i.v.m. de verantwoordingsplicht onder de AVG).

Hulp nodig?

Vragen over de Brexit of hulp nodig bij het verrichten van bovengenoemde analyse of het maken van de juiste afspraken of aanpassingen in uw privacydocumentatie? Andere vragen over de Brexit? Onze privacy- én onze Brexit-specialisten, in voorkomend geval samen, helpen u graag. Mail naar n.witt@ploum.nl, dan nemen wij z.s.m. contact met u op.

Contact

Advocaat

Nina Rijsterborgh-Witt

Expertises:  IT-recht, Privacyrecht, Cybersecurity , Marketing en Reclame, Food, Zorg, E-health, E-commerce,

Aankomende events

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.