Brexit en AVG: in 5 stappen voorbereiden op een ‘no deal-scenario’

Mochten de Britten nog wel tot een deal komen dan blijft tot eind 2020 de AVG van kracht. Dit betekent dat er tot die tijd niets verandert wat betreft de doorgifte van persoonsgegevens naar het VK.

De kans op een dealscenario lijkt gezien de huidige omstandigheden echter klein en wordt ook met de dag kleiner. Het is dan ook belangrijk om nu echt met de voorbereiding voor de no-dealbrexit te starten.

Een no-dealbrexit heeft namelijk grote gevolgen voor het doorgeven van persoonsgegevens aan het VK. Of het nu gaat om een multinational met een vestiging in het VK of om het gebruik van een Britse cloud provider. Bij een no-dealbrexit wordt het VK na 29 maart 2019 als een ‘derde land’ beschouwd en zijn de privacyregels van toepassing die gelden voor het doorgeven van persoonsgegevens buiten de EU.

Persoonsgegevens mogen dan niet meer vrij worden doorgegeven, maar dit moet plaatsvinden op grond van een van de volgende instrumenten:

• Standaard model- of ad-hoc bepalingen voor gegevensbescherming (de Europese Commissie heeft drie soorten modelcontracten opgesteld, waarmee een passende waarborg wordt geboden);
• Binding Corporate Rules (dit zijn gedragscodes die multinationals zichzelf opleggen, deze moeten worden goedgekeurd door de nationale autoriteit persoonsgegevens);
• Codes of Conduct (dit is bedoeld voor zelfregulering door bijvoorbeeld branche-organisaties) of certificeringsmechanismen (ook deze dienen beide te worden goedgekeurd).

Ook kan de Commissie (in een zogeheten adequaatheidsbesluit) oordelen dat het niveau van gegevensbescherming in het VK gelijk is aan de Europese regelgeving. In het geval van een no-dealbrexit ligt een dergelijk besluit echter niet meteen klaar en zal (in ieder geval voorlopig) gebruik moeten worden gemaakt van de bovenstaande instrumenten.

Aangezien bij een no-dealbrexit direct na 29 maart andere privacyregels gelden is het belangrijk dat er nu alvast stappen ter voorbereiding worden genomen. Volgens de European Data Protection Board kan dit door middel van de volgende 5 stappen:

1. Maak een overzicht; breng in kaart of, en zo ja welke persoonsgegevens er met organisaties in het VK worden gedeeld. Denk bijvoorbeeld aan het gebruik van de Britse cloud provider.
2. Kies een instrument; ga na welk instrument het beste pas bij de situatie. Zo zal in het geval van een multinational met een vestiging in het VK, het opstellen (hoewel dit erg kort dag is) of updaten van Binding Corporate Rules een goede optie kunnen zijn, terwijl met een verwerker beter de standaard modelcontracten van de Europese Commissie kunnen worden afgesloten.
3. Zorg ervoor dat het gekozen instrument op 30 maart 2019 klaar is voor gebruik;
4. Registreer intern dat persoonsgegevens worden doorgegeven aan het VK. Bijvoorbeeld in het verwerkingsregister en het interne privacy beleid.
5. Pas de privacyverklaring voor betrokkenen aan om betrokkenen te informeren over de doorgifte naar ‘buiten de EU’.

Voor de omgekeerde situatie waarin gegevens vanuit het VK worden doorgegeven, zal een no-dealbrexit overigens geen veranderingen teweegbrengen. De Britse regering heeft namelijk aangegeven dat gegevens vrijelijk vanuit het VK kunnen worden doorgegeven aan de EU, zoals op dit moment ook mogelijk is.

Aangezien de Brexit mogelijk deze maand nog een feit is, is er geen tijd te verliezen met de voorbereidingen.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.