i

ARTIKEL

Brexit en de GDPR: Wat is de volgende stap voor data privacy?
Michael van Staveren - Privacy & data protection professional - LL.M CIPP/E

Het Verenigd Koninkrijk heeft de Europese Unie verlaten. Er zijn nu nog maar 27 lidstaten over. Het Verenigd Koninkrijk maakte deel uit van de EU toen het Europees privacy kader genaamd de ‘GDPR’ van kracht werd en heeft daarom ook de GDPR opgenomen in zijn eigen nationale wetgeving (dit wordt nu de Britse GDPR genoemd) naast de Engelse implementatiewetgeving genaamd de UK Data Protection Act van 2018 (of kortweg DPA 2018). De GDPR en de Britse GDPR hebben beide hun oorsprong op het vasteland van de EU. Als we naar deze omstandigheden kijken, zou je kunnen stellen dat er niet veel zal veranderen, omdat deze wetten in wezen hetzelfde zijn, maar is dit echt het geval? Als er zaken veranderen tussen de ‘twee GDPR’s’, wat verandert er dan en hoe kan je organisatie zaken blijven doen met het Verenigd Koninkrijk en vice versa? Dit zijn vragen die we in dit artikel zullen beantwoorden. 

Handelsdeal 

Laten we beginnen met het goede nieuws: als onderdeel van de nieuwe handelsovereenkomst tussen het Verenigd Koninkrijk en de Europese Unie kun je persoonsgegevens blijven overdragen van en naar het Verenigd Koninkrijk voor een periode van maximaal zes maanden. Dit betekent dat er tot 1 juli 2021 geen beperkingen zijn op de stroom van persoonsgegevens. Mogelijk krijgt het Verenigd Koninkrijk na deze periode een adequaatheidsbesluit van de Europese Commissie. In feite betekent dit dat je als organisatie tot nu toe de tijd hebt om ervoor te zorgen dat de overdracht van persoonsgegevens in overeenstemming is, ook wanneer er op 1 juli geen adequaatheidsbesluit wordt gegeven.

Wat is er veranderd met de Brexit? 

Voor het Verenigd Koninkrijk, dat nu een derde land is onder de AVG en mogelijk later een niet-adequaat land [1] in de ogen van de Europese Unie, is de Britse GDPR al van kracht geworden op 31 januari 2020. Op dat moment heeft het Verenigd Koninkrijk ook alle adequaatheidsbesluiten tussen de Europese Unie en andere landen aanvaard en de Europese lidstaten adequaat geacht in de ogen van de Britse GDPR. Dit betekent dat in de ogen van het Verenigd Koninkrijk de gegevensoverdrachten van het Verenigd Koninkrijk naar Europa grotendeels hetzelfde blijven. 

Op januari 2021 zijn de Britse GDPR en Data Protection Act van 2018 de de facto Data Protection Legislation voor het Verenigd Koninkrijk. [2] Het wordt de Britse GDPR genoemd omdat het in wezen de GDPR is met enkele wijzigingen. De Britse GDPR leest bijvoorbeeld anders omdat begrippen als ‘Europese Unie’ zijn vervangen door ‘Verenigd Koninkrijk’ en ‘Recht van de Europese Unie’ is vervangen door ‘nationaal recht’. Ook zal niet langer de European Data Protection Board, maar het Information Commissioners Office (ICO) de hoogste toezichthoudende autoriteit zijn voor de handhaving van de gegevensbeschermingsverordening in het Verenigd Koninkrijk. 

Andere wijzigingen zijn te vinden in de DPPEC-verordening van de Regering van het Verenigd Koninkrijk. [3] Dit omvat veranderingen op het gebied van nationale veiligheid, inlichtingendiensten en immigratie. Ten eerste is er het einde van het samenwerkingsmechanisme tussen de toezichthoudende autoriteiten van de Europese Unie en de ICO. Ten tweede is er de afschaffing van het one-stop-shop-mechanisme met betrekking tot datalekken en de instelling van de extra territoriale jurisdictie die het Verenigd Koninkrijk zal hebben wanneer bedrijven aan het Verenigd Koninkrijk verkopen of toezicht houden op het gedrag van burgers van het Verenigd Koninkrijk. Bovendien wordt de leeftijd van toestemming voor de verwerking van persoonsgegevens verlaagd tot 13 jaar (16 onder de AVG). Dit is een verkort artikel, daarom zullen deze wijzigingen niet verder worden besproken.

Data Protection Representative (DPR) 

Omdat de Britse GDPR een extraterritoriale reikwijdte heeft, net als de originele GDPR, betekent dit dat als u een organisatie bent die persoonsgegevens overdraagt van het Verenigd Koninkrijk naar Europa of vice versa, u een vertegenwoordiger voor gegevensbescherming, ofwel een Data protection representative (DPR) moet aanstellen. [4] Deze functie kan worden vervuld door een rechtspersoon of natuurlijke persoon. Het is belangrijk om te weten wat een DPR doet. De DPR heeft inzicht in en toegang tot de gegevens met betrekking tot de verwerking van persoonsgegevens die door uw organisatie worden uitgevoerd op personen in Europa of het Verenigd Koninkrijk. Dit betekent dat de DPR toegang moet hebben tot het overzicht van de organisatie van persoonsgegevens die worden verwerkt. In de AVG wordt dit het ‘register van verwerkingsactiviteiten’ genoemd. Daarnaast moet de DPR toegang hebben tot relevante procedures binnen de organisatie om als officiële vertegenwoordiger op te treden. Wanneer een persoon bijvoorbeeld aan de DPR laat weten dat hij of zij een kopie wil ontvangen van de persoonsgegevens die door uw organisatie worden verwerkt, moet de DPR de betrokkene kunnen helpen met dat verzoek. Hoewel de verantwoordelijkheid van de verwerkingsactiviteit als geheel bij de organisatie (ook wel de controller genoemd) blijft, kan de DPR aansprakelijk worden gesteld voor de wijze waarop hij of zij deze rol voor de organisatie vervult. Dit betekent dat de DPR kan worden onderworpen aan handhavingsprocedures door de ICO of Europese toezichthoudende autoriteiten. 

Als onderdeel van de nieuwe handelsovereenkomst tussen het Verenigd Koninkrijk en de Europese Unie kunt u persoonsgegevens blijven overdragen van en naar het Verenigd Koninkrijk tot 1 juli 2021!

Doorgifte van persoonsgegevens van de Europese Unie naar het Verenigd Koninkrijk of omgekeerd 

Momenteel is het Verenigd Koninkrijk een zogenaamd ‘derde land’ onder de AVG. Dit betekent dat gegevensoverdrachten naar het Verenigd Koninkrijk worden beperkt, tenzij het Verenigd Koninkrijk een adequaatheidsbesluit van de Europese Unie ontvangt. Beperkt betekent dat normale overdrachten niet zijn toegestaan en om nog steeds persoonsgegevens naar het Verenigd Koninkrijk over te dragen, moet een afwijking in de AVG worden gebruikt. Dit kunnen standaardcontractbepalingen (SCC’s), bindende bedrijfsregels of een eenmalige afwijking zijn, zoals geïnformeerde en uitdrukkelijke toestemming van de betrokkene. In de praktijk betekent dit dat een bestaande gegevensverwerkingsovereenkomst die u mogelijk heeft met bijvoorbeeld een IT-bedrijf in het Verenigd Koninkrijk niet langer van kracht is en dat een van deze andere overdrachtsmechanismen moet worden gebruikt. [5] Het ia aan te bevelen om inzicht te krijgen in welke gegevensstromen er zijn van de Europese Unie naar het Verenigd Koninkrijk en vervolgens de overdrachtsmechanismen zo snel mogelijk bij te werken om aan de aansprakelijkheid onder de AVG te ontsnappen. 

En andersom? Het doorgeven van persoonsgegevens van het Verenigd Koninkrijk aan de Europese Unie is iets eenvoudiger. Europese lidstaten worden in de ogen van de Britse GDPR adequaat geacht. Dit betekent dat verwerkingsverantwoordelijken persoonsgegevens in de Europese Unie kunnen laten verwerken op grond van een bestaande gegevensverwerkingsovereenkomst en op dit moment geen gebruik hoeven te maken van een van de afwijkingen. Opmerking: de verwerkingsverantwoordelijke moet in het Verenigd Koninkrijk zijn gevestigd.

De status van het Verenigd Koninkrijk in de ogen van de Europese Unie, zal het een adequaatheidsbesluit krijgen? 

Zoals we hebben geleerd, is het Verenigd Koninkrijk een derde land onder de AVG. Andersom is dit niet het geval, omdat het Verenigd Koninkrijk de Europese lidstaten al als adequaat heeft erkend. De reden dat dit voor het Verenigd Koninkrijk niet het geval is, is tweeledig. Ten eerste kan de Europese Unie een bestaande lidstaat niet inadequaat achten, aangezien deze lidstaat eerst de Europese Unie moet verlaten en een derde land moet worden voordat het rechtsstelsel individueel kan worden beoordeeld (wanneer het Europees recht niet langer van toepassing is op dat land). Daarna zal het rechtsstelsel van het Verenigd Koninkrijk moeten worden herzien. 

Nu het Verenigd Koninkrijk een derde land is, lijkt de deur open te staan voor een adequaatheidsbesluit. Toch? De reden dat dit niet is gebeurd, is dat het Verenigd Koninkrijk in oktober 2019 een overeenkomst met de Verenigde Staten heeft ondertekend over de stroom van bepaalde persoonsgegevens van het Verenigd Koninkrijk naar de Verenigde Staten. In wezen zal de overeenkomst bepaalde belemmeringen voor het delen van gegevens op het gebied van criminaliteitsbestrijding tussen de twee landen verminderen. De EDPB heeft verklaard dat de waarborgen in die overeenkomst mogelijk niet zullen voldoen aan de normen voor gegevensbescherming van de Europese Unie. En heeft opgeroepen tot verplichte voorafgaande rechterlijke toestemming bij het delen van metadata en inhoudsgegevens. Volgens de huidige overeenkomst tussen het Verenigd Koninkrijk en de Verenigde Staten is dit niet het geval. Het is belangrijk hier op aan te merken dat, hoewel deze overeenkomst tussen het Verenigd Koninkrijk en de Verenigde Staten van kracht is, het een maas in de AVG zou creëren, omdat een adequaat land in wezen een niet-GDPR-conforme overeenkomst zou hebben met een ander niet-adequaat land. De EDPB stelt dat de Europese Commissie hiermee rekening zal houden bij de beslissing of het Verenigd Koninkrijk al dan niet een adequaatheidsbesluit zal ontvangen. [6]

Aandachtspunten:

  • Er is een overgangsfase en er zullen geen beperkingen zijn tot 1 juli 2021. 
  • Het Verenigd Koninkrijk is momenteel een derde land onder de GDPR. 
  • Het Verenigd Koninkrijk zou een adequaatheidsbesluit kunnen krijgen, maar momenteel lijkt dit niet het geval te zijn vanwege de recente overeenkomst tussen de Verenigde Staten en het Verenigd Koninkrijk.
  • Wanneer vanuit het Verenigd Koninkrijk wordt gewerkt als verwerkingsverantwoordelijke die persoonsgegevens verwerkt in de Europese Unie, moet mogelijk een DPR worden benoemd en vice versa.
  • Het Verenigd Koninkrijk heeft de Europese Unie als adequaat erkend, dit betekent dat de doorgifte van persoonsgegevens van het Verenigd Koninkrijk naar de Europese Unie kan worden voortgezet.
  • Standaard gegevensverwerkingsovereenkomsten tussen de Europese Unie en het Verenigd Koninkrijk zijn niet langer geldig. Er moet een afwijking worden toegepast. Dit kunnen standaard contractbepalingen (SCC’s), bindende bedrijfsregels of een eenmalige afwijking zijn. 
  • De tijd om in actie te komen is nu, wachten tot 1 juli wordt afgeraden. 

 

[1] Non-adequate country: A country under the GDPR that has not received an adequacy decision, this means that appropriate measures must be taken to safeguard the transfer of personal data. This can mean (among others) standard contractual clauses and binding corporate rules.
[2] If you have any ‘legacy’ personal data, collected before the 1st of January 2021, the original (non UK) GDPR continues to apply to that personal data as well.
[3] Data Protection, Privacy and Electronic Communication (EU Exit) Regulation.
[4] Unless processing is occasional, does not include large scale processing of special categories of personal (or criminal) data, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context and purpose of the processing activity.
[5] Standard Contractual Clauses (often the easiest option for most organizations) can be downloaded from the website of the European Commission and filled in. Please note: SCCs cannot be altered, only filled in.
[6] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_letter_out_2020-0054-uk-usagreement.pdf

The EU-US Privacy Shield is invalid! What to do with your international data transfers?
Webinar
Stappenplan datalekprotocol
Tool
GDPR, what does it mean for non-EU companies?
White paper