Voor politicologen is de Brexit ongetwijfeld een fascinerend proces, voor u als bedrijf of instelling roept het vooral veel vragen op. In deze blog sta ik kort stil bij de gevolgen vanuit het perspectief van de privacywetgeving.
De AVG/GDPR: EU is veilig, andere landen niet
Sinds 25 mei is de AVG of GDPR van kracht, in Nederland aangevuld door de Uitvoeringswet AVG (UAVG).
In deze privacywetgeving staat o.a. dat doorgifte van persoonsgegevens aan 'derde landen' alleen onder hele strikte voorwaarden is toegestaan. Onder die 'derde landen' worden alle andere landen dan EU-landen verstaan.
De UK degradeert tot een derdewereldland bij harde Brexit
Bij een "harde Brexit" - dus een Brexit zonder verdere afspraken - is het Verenigd Koninkrijk dus vanaf de dag van de Brexit opeens een 'derde land'.
Wanneer er dan verder niets geregeld wordt, is het (dus) niet meer toegestaan persoonsgegevens uit te wisselen met de UK. Dit is uiteraard hoogst onwenselijk wanneer u te maken heeft met Engelse leveranciers, klanten of dochterondernemingen.
Wat kan Brussel doen?
Op het niveau van de EU zijn er grosso modo twee oplossingen denkbaar:
- een afzonderlijk verdrag sluiten;
- Engeland toch als veilig aanmerken.
Route 1 werd in feite gevolgd in het door het Engelse parlement verworpen Brexit-verdrag. Dat verdrag regelde van alles en nog wat, waaronder de privacyrechtelijke status van het land. Deze route is na de stemming afgelopen dinsdag dus (voorlopig) van tafel. In theorie is wel denkbaar dat het omvangrijke verdrag wordt opgesplitst in deelverdragen. Mogelijk dat langs die route bepaalde zaken wel op een voor het Engelse parlement acceptabele wijze geregeld kunnen worden. De vraag is echter of het parlement daar nu oren naar heeft.
Route 2 ligt wellicht meer voor de hand. Artikel 45 AVG bepaalt dat de Europese Commissie kan besluiten dat "het derde land (...) een passend beschermingsniveau waarborgt". Daarvoor moet echter wel de juiste procedure worden gevolgd en daar gaat tijd overheen. Niettemin verwacht ik dat die route sneller is dan route 1. Het passend beschermingsniveau ligt bovendien wel voor de hand, al was het maar omdat de UK voorlopig dezelfde privacywetgeving houdt en lid blijft van de Raad van Europa en het EVRM. De UK staat wat dat betreft dichter bij de EU dan menig land dat nu staat vermeld in het lijstje van landen die zijn aangemerkt als derde landen met een passend beschermingsniveau.
Wat kunt u doen?
Brusselse raderen draaien traag, terwijl u bij een harde Brexit na 29 maart 2019 geen persoonsgegevens meer met Engeland mag uitwisselen. Het is dus zaak zelf actie te ondernemen.
De meest voor de hand liggende oplossingen zijn:
- Gebruik modelcontracten;
- Gebruik bindende bedrijfsvoorschriften.
U kunt met Engelse partijen zogenaamde modelcontracten afsluiten. Dit zijn standaardcontracten die gratis op de website van de Europese Commissie te vinden zijn. U mag in die contracten niets veranderen. Wel mag u die contracten - binnen kaders - als basis gebruiken om zelf iets te maken.
Binnen uw eigen concern kunt u bovendien gebruikmaken van bindende bedrijfsvoorschriften (binding corporate rules). Dat is - vrij vertaald - een door de toezichthouder goedgekeurd bedrijfsprivacybeleid dat daarmee geldt als een soort "veilige haven" voor de verwerking van persoonsgegevens.
Vermoedelijk krijgt u dit echter niet voor de datum van de Brexit goedgekeurd. Praktischer is het dan om de modelcontracten te gebruiken als basis voor een concernbrede umbrella agreement voor de uitwisseling van persoonsgegevens.
Kennen we dit niet ergens van?
Wanneer u het privacynieuws een beetje volgt, dan herkent u de discussie vermoedelijk. Enkele jaren terug werd het 'Safe Harbor' regime ongeldig verklaard. Uitwisseling van persoonsgegevens met de Verenigde Staten was toen opeens onrechtmatig.
Er is toen ongeveer twee jaar onderhandeld tussen de Europese Unie en de USA en dit heeft uiteindelijk geleid tot het Privacy Shield. In de tussentijd was er veel juridische onzekerheid voor alle betrokkenen. Uiteindelijk heeft er echter in het geheel geen handhaving plaatsgevonden door de Autoriteit Persoonsgegevens op dit punt.
De (nuchtere) vraag is dan ook hoe heet we de soep ondertussen moeten eten. Het verschil is wellicht wel dat de AP nu boetes kan opleggen, terwijl dat bij de discussie over Safe Harbor heel genuanceerd lag.
Hoe nu verder?
U doet er goed aan niet te wachten op de hogere politiek die achter het Brexit-proces schuilt gaat, maar zelf de boel op orde te maken. Het gebruik van modelcontracten, al dan niet binnen uw concern met een bijbehorend raamcontract, ligt veelal voor de hand.
Heeft u hierover vragen? Neem dan gerust contact op.
