• Nieuws

Ook voor gegevensverwerking geldt … No deal? Big deal!

31 januari 2019
IT & privacy - Europees recht - Technologie, media & telecom - Brexit

Nu het Britse Lagerhuis de Brexit-deal heeft afgeschoten is de kans gegroeid dat het Verenigd Koninkrijk (“VK”) al op 29 maart zonder akkoord uit de EU stapt. Een ‘no-deal Brexit’ kan grote gevolgen hebben. Niet alleen voor het verkeer van goederen naar het VK, maar ook voor de uitwisseling van data.

Na de Brexit kunnen gegevens niet langer zonder meer worden gedeeld met het VK. Dat heeft te maken met de beperkingen die de Algemene Verordening Gegevensbescherming (“AVG”), stelt aan uitwisseling van persoonsgegevens met niet-EU landen.

Om te zorgen voor een zachtere landing pleit branchevereniging Nederland ICT voor een overgangsregeling. Op dit moment is echter nog onduidelijk of die er komt.

Met mogelijk nog maar twee maanden te gaan, is de nood aan de man voor bedrijven die hun data doorgeven aan het VK. Bijvoorbeeld omdat ze zaken doen met Britse toeleveranciers, zoals hostingpartijen en softwareleveranciers. Of omdat ze een vestiging hebben in het VK. Zij zullen zich moeten voorbereiden. Maar waarop?

In deze blog ga ik in op de regels die gelden voor uitwisseling van gegevens met ‘derde landen’, de gevolgen van de Brexit voor doorgifte van gegevens naar het VK  en wat bedrijven kunnen doen om gegevens ook na 29 maart te kunnen doorgeven.

De regels

Binnen de EU mogen persoonsgegevens worden uitgewisseld. Aanvullende maatregelen zijn daarvoor niet nodig. Dit heeft te maken met het feit dat de regels van de AVG in alle EU-landen gelden. Daarmee is gewaarborgd dat persoonsgegevens, zolang zij binnen de EU blijven, goed beschermd zijn.

Dat persoonsgegevens ook voldoende beschermd zijn in landen buiten de EU (‘derde landen’) is op voorhand niet altijd even duidelijk. Het belang dat wordt gehecht aan mensenrechten en privacy in het bijzonder kan van land tot land enorm verschillen. Dit uit zich met name op gebieden waar deze belangen moeten worden afgewogen tegen de belangen van nationale veiligheid, openbare orde en strafrecht. In derde landen worden soms bevoegdheden gegeven aan overheden om burgers te controleren die veel verder gaan dan naar EU-normen acceptabel is. Om die reden stelt de AVG een aantal extra eisen in het geval persoonsgegevens worden doorgegeven aan een derde land.

Die eisen moeten ervoor zorgen dat de persoonsgegevens, ook na doorgifte aan (organisaties in) een derde land, beschermd zijn alsof ze binnen de EU worden verwerkt.

Dat kan op de volgende manieren: de Europese Commissie neemt een adequaatheidsbesluit of bedrijven nemen zelf maatregelen om bescherming van persoonsgegevens in het VK te waarborgen.

Een adequaatheidsbesluit is een vaststelling van de Europese Commissie dat het derde land een passend (adequaat) beschermingsniveau waarborgt. Zo’n besluit kan ook voor een gebied of één of meerdere sectoren in het derde land worden genomen.

Om in aanmerking te komen voor een adequaatheidsbesluit moet het derde land voldoen aan een aantal eisen. Het moet zich ertoe verbinden om een passend beschermingsniveau te waarborgen. Het moet zorgen voor een effectief en onafhankelijk toezicht. En het moet zorgen voor mechanismen van samenwerking met de autoriteiten van de lidstaten op het gebied van gegevensbescherming.

Een voorbeeld van zo’n besluit is de in 2016 aangenomen overeenkomst EU-VS Privacy Shield. Daarin heeft de Amerikaanse overheid zich verplicht tot maatregelen om data van EU-bewoners in de VS te beschermen. Onder meer door geen grootschalige surveillance-operaties uit te voeren op data van Europeanen, door dataoverdrachten van bedrijven niet te gebruiken door inlichtingendiensten en door het instellen van een Ombudsman voor geschillen. Amerikaanse bedrijven kunnen zich voor het Privacy Shield programma aanmelden. Heeft een bedrijf zich aangemeld en is door (zelf-)certificering vastgesteld dat het bedrijf voldoet aan de regels, dan mogen persoonsgegevens met het bedrijf worden uitgewisseld. Extra waarborgen zijn dan niet nodig; de persoonsgegevens zijn voldoende beschermd.

Wil een bedrijf gegevens uitwisselen met een land waarvoor geen adequaatheidsbesluit is genomen, dan zal het bedrijf zelf extra maatregelen moeten treffen. Bijvoorbeeld door een door de Europese Commissie vastgesteld modelcontract te sluiten. Of door bindende bedrijfsvoorschriften te hanteren, die regelen dat alle bedrijfsonderdelen zich zullen houden aan (kort gezegd) de normen van de AVG. Deze ‘binding corporate rules’ zijn relevant en kunnen een oplossing zijn voor bedrijven met een vestiging in het VK.

Wisselt een bedrijf persoonsgegevens uit met een derde land en zijn geen waarborgen getroffen die ervoor zorgen dat de gegevens veilig zijn, dan overtreedt het bedrijf de AVG. Het bedrijf loopt dan het risico op boetes en die kunnen hoog oplopen.

Gevolgen van een no deal Brexit voor gegevensuitwisseling met het VK

Na een ‘no-deal’ Brexit wordt het VK een derde land.

Wordt voor 29 maart een adequaatheidsbesluit genomen dan is er weinig aan de hand. Uitwisseling blijft gewoon mogelijk, er verandert niets. Oftewel: ‘Business as usual’. Dat een dergelijk besluit er komt is echter geen gelopen race en dat het er komt voor 29 maart al helemaal niet. Er moet namelijk nog wel het een ander gebeuren voordat het zover is.

Duidelijk zal moeten zijn dat het VK de regels van de AVG, of daarmee vergelijkbare regels, ook na de Brexit zal handhaven. Op dit moment gelden de regels van de AVG automatisch in het VK. De AVG biedt lidstaten de mogelijkheid om een aantal regels nader in te vullen in nationale wetten. Het VK heeft dat gedaan in de “Data Protection Act 2018”. De Britse regering heeft het voornemen geuit om de huidige regels te handhaven. Maar daarmee staat nog niet vast dat dat ook inderdaad zal gebeuren. Hierover zullen toezeggingen moeten worden gedaan en afspraken gemaakt.

De AVG kent een groot aantal open normen, die nadere invulling behoeven. Deze invulling wordt (onder meer) gegeven door het Europees Comité voor Gegevensbescherming. Op dit moment is het VK vertegenwoordigd in het Comité, maar dat zal na de Brexit waarschijnlijk niet langer het geval zijn.

Neemt het VK niet langer deel aan het Comité dan is de vraag hoe zij zal zorgen voor de vereiste “mechanismen van samenwerking met de autoriteiten van de lidstaten op het gebied gegevensbescherming”. Daarnaast bestaat de kans dat in het VK, zelfs al zou zij de regels van de AVG houden, een andere invulling zal worden gegeven aan die regels. Daarmee is de vraag in hoeverre een gelijk beschermingsniveau dan nog gewaarborgd is. Ook hierover zullen afspraken moeten worden gemaakt.

En dan is er tenslotte ook nog de omstreden “UK Investigatory Powers Act 2016” die wel eens roet in het eten zou kunnen gooien. Deze Act, ook wel bekend als de “Snoopers’ Charter”, geeft de Britse overheid (te?) vergaande bevoegdheden om burgers te controleren.

Nogal wat punten dus waarover helderheid moet komen.

Actie is geboden

Wil je als bedrijf geen risico lopen op overtreding van de AVG, dan is het verstandig om niet achter over te leunen maar in actie te komen.

Wat kun je doen?

Je kunt er natuurlijk voor kiezen om persoonsgegevens niet langer door te geven aan het VK of uit te wisselen met het VK en gegevens alleen nog op te slaan op servers in de EU. Dat kan een ingrijpende wijziging van je bedrijfsvoering betekenen.

Je kunt ook toestemming vragen voor de doorgifte. Die toestemming moet je dan wel aan alle betrokkenen vragen. Lastig, als dat er veel zijn. Toestemming kan bovendien worden geweigerd en wat doe je dan? Heb je een alternatief voor de groep die toestemming weigert?

Heb je als bedrijf een vestiging in het VK? Dan kun je ervoor kiezen om binding corporate rules in te voeren. Maar ook dat heeft nogal wat voeten in de aarde.

Voorgaande opties zijn omslachtig en niet nodig.

De eenvoudigste oplossing is om de door de Europese commissie vastgestelde model-contracten te sluiten. Die zijn er in twee varianten: één voor als je een verwerker inschakelt en één voor situaties waar beide partijen verantwoordelijk zijn. Twijfel je welke jij moet gebruiken? Lees dan mijn vorige blog die daarover gaat.

Wat je in ieder geval niet moet doen? Je kop in het zand steken. Het kan best zijn dat er alsnog een deal komt. Maar wil je onnodige risico’s lopen als dat niet lukt?