Privacy & Brexit: Welke privacy acties zijn nodig?
Doordat het Verenigd Koninkrijk (Engeland, Schotland, Wales en Noord-Ierland) de EU heeft verlaten en de transitieperiode ook is verlopen, is het vanuit Europees perspectief een ‘derde land’ geworden. Op 24 december 2020 is de Brexit-deal gesloten. Maar organisaties die persoonsgegevens willen (blijven) doorgeven naar of verwerken in het VK, zullen zelf snel diverse privacy acties moeten ondernemen, in ieder geval uiterlijk vóór 1 mei 2021 (of 1 juli 2021).
Overgangsperiode van maximaal 6 maanden
Op basis van de Brexit deal kan de doorgifte nog tot 1 mei 2021 op de oude voet plaatsvinden zoals vóór Brexit. Dit kan alleen indien het VK gedurende deze periode haar privacy regels niet aanpast. Deze overgangsperiode kan maximaal eenmalig met twee maanden worden verlengd, dus tot 1 juli 2021.
Doorgifte na afloop van de overgangsperiode. Wat zijn de opties?
Adequaatheidsbesluit
De Europese Commissie (EC) kan een adequaatheidsbesluit nemen voor het VK. De EC stelt daarmee vast dat de Britse wetgeving een adequaat niveau van gegevensbescherming biedt dat gelijkwaardig is aan dat van de Europese Economische Ruimte (EER). In dat geval hoeft u geen aanvullende maatregelen te treffen voor de uitwisseling van persoonsgegevens met het VK. Hoewel de EC momenteel het adequaatheidsbesluit voorbereidt, is het twijfelachtig of het adequaatheidsbesluit er (op tijd) komt. Wij raden u daarom aan niet daarop te wachten.
Geen adequaatheidsbesluit; Passende maatregelen
Indien niet (tijdig) een adequaatheidsbesluit voor het VK komt, betekent dit dat u zelf tijdig passende maatregelen moet nemen om de veilige doorgifte van persoonsgegevens naar de VK te waarborgen.
De AVG biedt onder meer twee oplossingen: het gebruik van modelcontractbepalingen (Standard Contractual Clauses; SCC’s) of bindende bedrijfsvoorschriften (Binding Corporate Rules; BCR). Daarnaast kunnen incidentele doorgiften in specifieke uitzonderingsgevallen toegestaan zijn.
Risicobeoordeling na Schrems II
Als gevolg van het Schrems II arrest van het Hof van Justitie van 16 juli 2020, moet u ook beoordelen of de wetgeving van de VK een toereikend beschermingsniveau biedt. Als dit niet het geval is, dan moet u, naast het sluiten van SCC of BCR – aanvullende maatregelen treffen om privacy risico’s te ondervangen en uw persoonsgegevens te beschermen. De European Data Protection Board (EDPB) heeft in november 2020 aanbevelingen gepubliceerd over de wijze waarop een dergelijke beoordeling kan worden uitgevoerd, met voorbeelden voor aanvullende maatregelen, bestaande uit contractuele, technische en organisatorische maatregelen (zoals encryptie maatregelen). U moet die maatregelen zelf toepassen, of van uw dienstverlener (die als verwerker optreedt) verlangen dat hij die maatregelen doorvoert, om zodoende een passend niveau van gegevensbescherming te garanderen. Indien het niet mogelijk is om afdoende maatregelen te treffen, dan zal de doorgifte moeten worden stopgezet.
Nieuwe SCC’s verwacht begin 2021
In november 2020 zijn nieuwe (ontwerp-)modelcontractbepalingen gepubliceerd, die naar verwachting begin 2021 door de EC zullen worden goedgekeurd. Vanaf dat moment (althans in ieder geval binnen de transitieperiode opgenomen in het nieuwe SCC’s besluit zoals vastgesteld door de EC) moet u deze nieuwe SCC’s gebruiken voor de doorgiften naar het VK (of anders nog de huidige SCC’s indien de nieuwe versie nog niet goedgekeurd is), indien u gebruik maakt van dit doorgifte instrument.
Bindende bedrijfsvoorschriften (BCR)
Voor de uitwisseling van persoonsgegevens in concernverband kunt u ook uw reeds goedgekeurde BCR’s blijven gebruiken. Als uw organisatie nog geen BCR heeft geïmplementeerd, en overweegt om BCR’s op te stellen, dient u rekening te houden met een aanzienlijke vertraging voordat uw organisatie de BCR’s in gebruik kan nemen. Indien de Autoriteit Persoonsgegevens (AP) voor uw organisatie de leidende autoriteit is, moet u de BCR’s ter goedkeuring aan de AP voorleggen. De wachttijden bij de AP voor het verwerken van BCR-aanvragen bedragen nu vijf tot zeven jaar.
Privacy acties – wacht niet tot 1 mei 2021 (of 1 juli 2021)
De huidige overgangsperiode geeft u de mogelijkheid om de vereiste privacy-acties in kaart te brengen, zodat uw organisatie zonder problemen persoonsgegevens kan blijven uitwisselen met het VK.
Ons advies:
- Breng alle doorgiften van persoonsgegevens in kaart: Breng alle doorgiften van persoonsgegevens tussen de EER en het VK (en vice versa) binnen uw organisatie in kaart. Controleer ook of uw verwerkers (dan wel hun subverwerkers) gegevens verwerken in het VK.
- Bepaal een strategie voor de doorgifte voor het geval dat een adequaatheidsbesluit voor het VK niet uiterlijk vóór 1 mei 2021 (of 1 juli 2021) goedgekeurd wordt. Zorg ervoor dat u de juiste doorgifte instrumenten en aanvullende maatregelen in kaart heeft gebracht, zodat uw organisatie de doorgifte van gegevens naar het VK niet hoeft te staken als er geen adequaatheidsbesluit wordt genomen.
- Controleer en actualiseer uw privacy documenten: Ga naof de privacy documentatie van uw organisatie, zoals het verwerkingsregister en het privacy statement, als ook bestaande privacy overeenkomsten moeten worden aangepast, zodat daarin ook rekening is gehouden met de noodzakelijk te treffen contractuele, technische en organisatorische maatregelen.
- One-stop-shop-principe / leidende toezichthouder: Als uw organisatie de Britse toezichthouder (ICO) had aangewezen als de leidende toezichthouder op basis van het one-stop-shop-principe onder de AVG, moet u een nieuwe leidende toezichthouder in de EER aanwijzen.
- Britse privacywetgeving: Als uw organisatie persoonsgegevens van betrokkenen in het VK verwerkt, vallen deze verwerkingen waarschijnlijk onder de Britse privacywetgeving. Als uw organisatie geen vestiging in het VK heeft, moet uw organisatie mogelijk ook een vertegenwoordiger in het VK aanwijzen.
- Melding datalekken: Als u gegevens verwerkt binnen de EER en het VK dan moet u een datalek aan alle relevante privacy toezichthouders melden. Dit kunnen dan zowel de toezichthouder(s) in de EER en het VK zijn. Na het melden van het incident, kunnen zowel de ICO als de Europese toezichthouders boetes opleggen. Het nakijken van uw datalekken beleid en de daarin opgenomen meldregeling kan voorkomen dat u de datalekken ten onrechte alleen bij de ICO meldt.
Sancties
Niet naleving van de AVG regelgeving kan leiden tot boetes van maximaal 20 miljoen euro of 4% van uw wereldwijde jaaromzet. Voor Nederland zijn maatgevend de boetebeleidsregels van de AP. Zie verder ook het Brexit dossier van de AP.
Uw contact
De privacy specialisten van Doorne helpen u graag verder. Wij werken nauw samen met privacy specialisten uit de VK, zodat wij u adequaat bijstand kunnen bieden, of het nu om het Nederlandse of het Britse privacy recht gaat.
Zie ook de artikelen over de impact van Brexit in andere praktijkgebieden. Voor een meer gedetailleerde analyse van de impact van Brexit op uw bedrijf, aarzel niet om contact op te nemen met een van onze experts.