AVG-gevolgen van de Brexit

20 februari 2019

Sinds 25 mei 2018 is de – inmiddels veelbesproken – AVG van kracht. Deze Algemene verordening gegevensbescherming is rechtstreeks van toepassing op en binnen alle lidstaten van de Europese Unie, waaronder ook het Verenigd Koninkrijk. Met de Brexit zal het VK niet meer gebonden zijn aan deze verordening.

Deal

Bij een akkoord is er (zeer waarschijnlijk) een overgangsperiode van twee jaar, waarbij alles het oude blijft. De AVG blijft in die periode ook van kracht. Na 31 december 2020 komt u in dezelfde situatie terecht als waarin er een no-deal zou zijn.

No-deal

Op het moment dat het VK uit de EU treedt, wordt het aangemerkt als een ‘derde land’. Opslag van persoonsgegevens in of het uitwisselen met een partij in het VK, bijvoorbeeld met een verwerker die in het VK zit, is dan in beginsel verboden. Ook het delen van persoonsgegevens met een moeder- of dochtermaatschappij in de VK is dan niet zonder meer toegestaan. Eventueel kan de Autoriteit Persoonsgegevens een adequaatheidsbesluit toekennen voor het VK indien in de VK een passend en vergelijkbaar beschermingsniveau voor persoonsgegevens wordt geboden, maar dit duurt minstens een jaar. Dit besluit zal dan nooit op tijd worden gemaakt voor de harde Brexit.

In de volgende gevallen kunnen persoonsgegevens wel worden gedeeld met het VK:

Als er een procedure in de VK moet worden ingesteld of moet worden onderbouwd en deze persoonsgegevens daarvoor noodzakelijk zijn;
Als het gaat om bescherming van vitale belangen, bijvoorbeeld een Nederlander die op vakantie in Londen een hartaanval krijgt en daarom persoonsgegevens moeten worden gedeeld;
Als er een eigen register moet worden ingevuld, bijv. een Nederlander die een huis koopt, moet deze transactie inschrijven bij het Engelse kadaster;
Als de betrokkene toestemming geeft; de toestemming moet dan wel specifiek en uitdrukkelijk zijn en de betrokkene moet in (eenvoudig) Nederlands worden gewezen op risico’s bij opslag van zijn persoonsgegevens in het VK.

Tips

U kunt met verwerkers die in het VK gevestigd zijn een specifieke verwerkersovereenkomst afsluiten met daarin extra waarborgen en extra auditmaatregelen;
U kunt op zoek gaan naar een andere locatie voor uw server of de server van uw verwerker;
Voor het delen van persoonsgegevens binnen een concern met één of meerdere onderneming(en) in het VK, kunnen er “Binding Corporate Rules” (BCR) worden opgemaakt. Dit is een set van regels die afgesproken wordt tussen ondernemingen voor het intercompany delen van persoonsgegevens, waarbij er minimale privacywaarborgen gelden. Deze BCR moeten wel worden goedgekeurd door de toezichthouder in het land van de hoofdvestiging van het concern. Nadeel is dat dit ook geen directe oplossing biedt, omdat deze procedure vaak één tot twee jaar duurt;
U kunt een EU-modelcontract sluiten met een partij uit het VK. Deze ‘standard contractual clauses’ verplichten de partij in het VK ertoe om hetzelfde beschermingsniveau als dat van de AVG te hanteren. Nadeel hiervan is dat het lastig is om te controleren of die partij dat ook daadwerkelijk toepast.

Neem voor meer tips en bij vragen vrijblijvend contact met ons op!

Kies het juridisch servicecontract dat bij jou past

Gespecialiseerd in alle zakelijke rechtsgebieden