Geplaatst op 15 februari 2019 14:37 door Tom Pool
Voldoet u aan de AVG na een ‘no deal Brexit’?
Op 12 februari hebben de Europese privacytoezichthouders instructies aangenomen voor de naleving van privacywetgeving in geval van een ‘no deal Brexit’. De Autoriteit Persoonsgegevens publiceerde op haar website een Nederlandse vertaling van deze instructies.
In de instructies wordt toegelicht hoe organisaties (die zaken doen met het Verenigd Koninkrijk) zich kunnen voorbereiden op een no deal Brexit. Op dit moment is de Europese privacyverordening, de Algemene verordening gegevensbescherming (‘AVG’), nog van toepassing in het Verenigd Koninkrijk. Na een no deal Brexit is dit niet langer het geval. De doorgifte van persoonsgegevens aan het Verenigd Koninkrijk is dan niet meer toegestaan, tenzij een van de in de AVG genoemde ‘instrumenten’ voor doorgiftes aan landen buiten de Europese Economische Ruimte (‘derde landen’) wordt toegepast. Voorbeelden van zulke instrumenten zijn door de Europese Commissie of toezichthouder goedgekeurde ‘modelcontractenbepalingen’ voor gegevensbescherming en bindende bedrijfsvoorschriften (ook wel binding corporate rules, ’BCR’s’). Mocht de Europese commissie nog besluiten dat het Verenigd Koninkrijk een passend beschermingsniveau waarborgt (‘adequaatheidsbesluit’), dan is een dergelijk instrument voor de doorgifte niet vereist.
Volgens de toezichthouders moeten ter voorbereiding op een ‘no deal Brexit’ in ieder geval de volgende stappen worden gezet:
- vaststellen bij welke verwerkingsactiviteiten persoonsgegevens aan het Verenigd Koninkrijk worden doorgegeven;
- bepalen welk instrument voor doorgifte aan een derde land van toepassing is;
- ervoor zorgen dat dit instrument op de dag van de Brexit (waarschijnlijk 30 maart 2019) klaar is voor gebruik;
- de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk vermelden in de interne documenten en
- aanpassen van de privacyverklaring(en) om de betrokkenen over de nieuwe situatie te informeren.
De toezichthouders hebben daarnaast specifieke instructies gepubliceerd voor het gebruik van BCR’s.
Opmerkelijk is dat de Britse regering zelf stelt dat in het geval van een ‘no deal Brexit’ niets zal veranderen aan de vrijelijke doorgifte van persoonsgegevens van het Verenigd Koninkrijk naar de EER. Of dit inderdaad het geval is, zal nog moeten blijken. Eerst is belangrijk om na te gaan of uw organisatie klaar is voor een ‘no deal Brexit’. Wij ondersteunen daarbij graag. Voor vragen kunt u contact opnemen met Ramon Steenbergen en Tom Pool.