Ondernemende advocaten voor de ondernemer

Deal or no-deal, is doorgifte van persoonsgegevens na de Brexit nog mogelijk?

De kranten staan er vol mee: de Brexit! De grote vraag op dit moment is nog of de Europese Unie en het Verenigd Koninkrijk tot een deal kunnen komen voor 31 oktober 2019 of dat er uiteindelijk sprake zal zijn van een no-deal Brexit. In het geval er sprake is van een no-deal Brexit zal het Verenigd Koninkrijk niet langer deel uitmaken van de Europese Unie. Wat betekent dit voor de doorgifte van persoonsgegevens vanuit Nederland naar het Verenigd Koninkrijk?

Doorgifte van persoonsgegevens

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. De Europese wetgever heeft daarom bepaald dat het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland alleen mag als het ontvangende land voldoende bescherming biedt.

Zoals inmiddels bekend, is het beschermingsniveau binnen de EER gelijk, nu voor alle EU lidstaten plus Liechtenstein, Noorwegen en IJsland de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Indien uw organisatie persoonsgegevens van Nederland naar een van deze landen doorgeeft, hoeft uw organisatie alleen te voldoen aan de algemene eisen uit de AVG. Op dit moment geldt dat dus ook voor het Verenigd Koninkrijk.

Als het Verenigd Koninkrijk uit de EU treedt, en er geen aparte regeling wordt getroffen over doorgifte/bescherming van persoonsgegevens (bijv. bij een no-deal Brexit), dient te worden voldaan aan aparte regels die ook al gelden ten aanzien van landen buiten de EER.

Doorgifte van persoonsgegevens aan het Verenigd Koninkrijk na de Brexit

Voor doorgifte buiten de EER, aan zogeheten derde landen, geldt als hoofdregel dat dit mogelijk is wanneer het betreffende derde land een passend beschermingsniveau heeft. Of een derde land een passend beschermingsniveau biedt, wordt bepaald door de Europese Commissie middels een zgn. adequaatheidsbesluit. Op het moment van de Brexit is een dergelijk besluit door de Europese Commissie ten aanzien van het Verenigd Koninkrijk (nog) niet genomen. Dit betekent dat een doorgifte van persoonsgegevens enkel mogelijk is op basis van andere instrumenten. Uw opties zijn:

1. Standaardbepalingen

U kunt met de partij in het Verenigd Koninkrijk afspraken maken over het gebruik van standaardbepalingen voor gegevensbescherming. Deze standaardbepalingen zijn goedgekeurd door de Europese Commissie. Het gaat daarbij om een modelcontract dat dient te worden overeengekomen tussen u en de partij in het Verenigd Koninkrijk. Belangrijk om op te merken is dat deze modelcontracten niet mogen worden gewijzigd en er mogen geen aanvullende bepalingen worden opgenomen die direct of indirect in tegenspraak zijn met dit contract. De beschikbare modelcontracten vindt u hier:

2. Bindende bedrijfsvoorschriften

De tweede optie is het hebben van bindende bedrijfsvoorschriften (oftewel ‘Binding Corporate Rules’, BCRs). Hieronder wordt verstaan het eigen beleid voor de bescherming van persoonsgegevens dat een groep ondernemingen (d.w.z. multinationale ondernemingen) hanteert om passende waarborgen te bieden voor de doorgifte van persoonsgegevens binnen de groep, zowel binnen als buiten de EER. In het geval u bindende bedrijfsvoorschriften wilt invoeren, dan moeten deze worden goedgekeurd door de Autoriteit Persoonsgegevens na advies van de European Data Protection Board.

3.Gedragscode of certificeringsmechanismen

Deze laatste optie is enkel onder bepaalde omstandigheden toegestaan, nu het hier gaat om een ‘afwijking/uitzondering’ van hetgeen over doorgifte van gegevens is bepaald. Hierbij moet u denken aan incidentele doorgifte van persoonsgegevens. De AVG bepaalt dat de volgende afwijkingen in de volgende gevallen van toepassing kunnen zijn:

  1. wanneer een natuurlijke persoon uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd na te zijn ingelicht over de risico’s die aan de doorgifte verbonden zijn;
  2. wanneer de doorgifte noodzakelijk is voor het uitvoeren of sluiten van een overeenkomst tussen de natuurlijke persoon en de verwerkingsverantwoordelijke of de overeenkomst wordt gesloten in het belang van de natuurlijke persoon;
  3. wanneer de doorgifte van gegevens noodzakelijk is gelet op zwaarwegende redenen van algemeen belang;
  4. wanneer de doorgifte van gegevens noodzakelijk is in verband met dwingende gerechtvaardigde belangen van de organisatie.

Als laatste merk ik nog op dat er voor publieke autoriteiten speciale mechanismen voor doorgifte zijn opgenomen in de AVG.

Meer informatie en contact
Werkt u samen met partijen in het Verenigd Koninkrijk en twijfelt u of hierbij sprake is van doorgifte van persoonsgegevens of twijfelt u of u al klaar bent voor een no-deal Brexit? Neem dan gerust contact op met Maaike van Santvoort.

Lees ook

Privacyaspecten bij softwaregebruik en softwareontwikkeling
Maaike van Santvoort, 28-01-2019
Geen onderdeel van een categorie, IE/ICT/Privacy