-

De gevolgen van Brexit voor dataverkeer tussen EU en UK

De EU en het Verenigd Koninkrijk liggen op ramkoers over de samenwerking na 31 december 2020. Dat heeft ook gevolgen voor het dataverkeer. Tips en adviezen om je organisatie goed voor te bereiden op de Brexit.

Het Verenigd Koninkrijk heeft op 31 januari 2020 de Europese Unie verlaten. Nu geldt een overgangsperiode tot en met 31 december 2020. In deze periode moet het VK zich houden aan alle EU-regels en wetten. Wat daarna gebeurt is nog onduidelijk, maar het is wel zeker dat dit invloed heeft op het dataverkeer tussen de EU en het VK. In dit artikel ga ik in op de belangrijkste gevolgen van Brexit voor dataverkeer.

Deal or no deal?

Al jaren is het de vraag in hoeverre er een afspraak tussen de EU en het VK komt wanneer ze de Europese Unie verlaten. Dat is ook van groot belang voor het dataverkeer tussen de EU en het VK. Op dit moment houdt het VK zich nog aan de AVG, maar na de transitieperiode is dat geen gegeven meer. De DMA UK benadrukt dat zij hopen dat de Britse regering ervoor kiest om zo dicht mogelijk bij de AVG te blijven. Dat is geen zekerheid, aangezien er ook stemmen opgaan voor een meer Amerikaans of zelfs Chinees model van gegevensbescherming. 

Enkele belangrijke factoren die nog niet vast staan:

  • Blijft het VK haar wetgeving spiegelen aan de AVG?
  • Zal het VK uitspraken van het Europees Hof van Justitie blijven volgen?
  • Wat wordt de positie van de Britse toezichthouder?
Wat betekent dit als je data doorgeeft naar het VK?

Wie data doorgeeft buiten de EU (formeel Europese Economische Ruimte) moet ervoor zorgen dat die gegevens ook buiten de EU goed beschermd worden. De AVG kent daarvoor verschillende regimes, waarvan het zgn. ‘adequaatheidsbesluit’ het meest bekend is. Wanneer de Europese Commissie besluit dat een niet-EU land adequaat beschermingsniveau biedt kunnen Europese organisaties data doorgeven zonder dat er aanvullende maatregelen genomen moeten worden. Informeren over de doorgifte is dan voldoende. Het bekendste adequaatheidsbesluit is het Privacy Shield. Die afspraak met de Verenigde Staten werd deze zomer ongeldig verklaard door het Europees Hof van Justitie

DMA UK en alle organisaties die belang hebben bij dataverkeer tussen het VK en de EU hopen op zo’n adequaatheidsbesluit, maar na het ongeldig verklaren van het Privacy Shield is het allerminst zeker dat de Europese Commissie een dergelijk besluit zal nemen. De meeste aandacht gaat daarbij naar de vergaande bevoegdheden van inlichtingendiensten in het VK, een punt van zorg dat aan de basis lag van het Privacy Shield besluit van het Europees Hof van Justitie. 

Naast de vraag of er een adequaatheidsbesluit komt, is er de vraag wanneer dat het geval zou kunnen zijn. Formeel kan de Commissie een dergelijk besluit pas nemen zodra een land een niet-EU-land is, maar naar verluidt wordt er op de achtergrond al druk onderhandeld over een akkoord. De normale procedure duurt jaren, maar het is de verwachting dat het in deze uitzonderlijke situatie mogelijk is om eerder tot een akkoord te komen. Het lijkt erop dat tijd een minder groot issue is dan de vraag of een besluit er überhaupt komt. 

Wat als er geen adequaatheidsbesluit komt?

Dan biedt de AVG een gelimiteerd aantal opties voor de partij die data ‘exporteert’. Die lijst zal ook voor het VK de enige opties bieden. In onze sector zijn de meest voor de hand liggende opties:

  1. Binding Corporate Rules: afspraken binnen een bedrijfsstructuur die over landsgrenzen heen reikt, voor doorgifte binnen de organisatie
  2. Standard Contractual Clauses (SCC’s): modelcontracten tussen de ‘exporteur’ en ‘importeur’ aanvullend op een eventuele verwerkersovereenkomst)
  3. Gedragscodes die goedgekeurd zijn door de toezichthouder
  4. Toestemming van de betrokkene

In Nederland is bij de Autoriteit Persoonsgegevens een enorme achterstand ontstaan bij het goedkeuren van Binding Corporate rules. De meest recente inschatting van de toezichthouder is dat een nieuw verzoek 5 tot 7 jaar op goedkeuring zal moeten wachten. Daardoor is het in het geval van Brexit geen realistische optie. Brexit duurt erg lang, maar het is te verwachten dat de EU en het VK er binnen 5 jaar wel uit zijn. Omdat ook gedragscodes langdurige trajecten zijn, blijven enkel toestemming en SCC’s over. Voor geldige toestemming moet aan een groot aantal eisen voldaan worden, waaronder de eis dat het op ieder moment zonder nadelige gevolgen kan worden ingetrokken. Dat maakt het een onpraktisch instrument voor doorgifte. Dit is waardoor SCC’s door velen gezien worden als de meest realistische optie in het geval van het ontbreken van een adequaatheidsbesluit. Let op: de Europese Commissie publiceerde recent de conceptversies voor de nieuwe SCC’s. Gebruik tot deze definitief zijn goedgekeurd de oude SCC’s

Wat is de impact van de Schrems II-uitspraak op dataverkeer naar het VK?

Naast dat er kritischer zal gekeken worden voordat er een adequaatheidsbesluit wordt genomen, is er nog een tweede manier waarom de Schrems II-uitspraak dataverkeer naar het VK beïnvloedt. De hoogste Europese rechtbank bepaalde namelijk ook dat de SCC’s op zichzelf niet voldoende zijn om te zorgen voor passende waarborgen bij doorgifte. Die modelcontracten zijn immers een afspraak tussen twee organisaties, en het Hof bepaalde dat ook de context daar omheen moet meegenomen worden. Met name de vraag of de ontvangende partij in het buitenland wel in staat is om de afspraken uit de SCC’s na te komen.

De exporteur van persoonsgegevens heeft volgens het Hof de plicht om die analyse te maken voordat doorgifte plaatsvindt. Wanneer er bijvoorbeeld risico is omdat inlichtingendiensten de gegevens bij de importeur kunnen opvragen is het aan de exporteur om te zorgen dat er extra maatregelen worden genomen om die risico’s weg te nemen. Een flinke opgave, die ook in het geval van het VK nodig zal zijn, aangezien de inlichtingendiensten in het VK vergaande bevoegdheden hebben. Het kan dus nodig zijn om aanvullende maatregelen te treffen. Meer informatie vanuit DDMA over de impact van Schrems vind je in deze handleiding Explained: Data delen buiten de EU. Vanuit de EDPB zijn deze aanbevelingen gepubliceerd. Let op: het gaat nog om een conceptversie, maar bij de EDPB wijken de concept- en definitieve versies meestal weinig af. 

Adviezen

Tot slot enkele adviezen van DDMA-zustervereniging DMA UK:

  • Bereid je voor op een no-deal Brexit
  • Bereid je voor op het uitblijven van- of een zeer laat adequaatheidsbesluit
  • Zorg voor SCC’s als back-up optie
  • Lever input op de conceptversies van de nieuwe SCC’s
  • Neem contact op met partners in het VK waarmee persoonsgegevens worden uitgewisseld
  • Zorg dat binnen je organisatie de juiste mensen aangehaakt zijn

Over de auteur: Matthias de Bruyne is legal counsel bij DDMA.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond