Skip to main content

Binnen de Europese Unie (“EU”) geldt de Algemene Verordening Gegevensbescherming (“AVG”). Indien een organisatie die binnen de EU is gevestigd, persoonsgegevens aan een ander land binnen de EU wil doorgeven dient deze zich aan de AVG te houden. Er gelden geen aanvullende regels. Voor het doorgeven van persoonsgegevens buiten de EU (aan een derde land) stelt de AVG extra voorwaarden.

Op 30 maart 2019 treedt het Verenigd Koninkrijk (“VK”) uit de Europese Economische Ruimte (“EER”)[1]. Mochten de EER en het VK niet tot een overeenkomst (“no-dealbrexit”) komen waaronder het VK de EER verlaat, dan wordt het VK een derde land onder de AVG.

De AVG stelt dat doorgifte van persoonsgegevens naar een derde land alleen mag als het land het door de AVG geboden beschermingsniveau niet ondermijnt. Er dient sprake te zijn van een adequaat niveau van gegevensbescherming. Landen die een met de AVG vergelijkbaar niveau van gegevensbescherming bieden in hun nationale wetgeving worden geacht een passend niveau van gegevensbescherming te bieden. De Europese Commissie stelt vast of dit het geval is en neemt dan een zogeheten “adequaatheidsbeslissing”. Indien een dergelijke beslissing is genomen hoeven er geen aanvullende waarborgen voor doorgifte van persoonsgegevens naar derde landen worden getroffen.

Tot het moment het VK de EU verlaat zal het VK een adequaat beschermingsniveau bieden. Op het moment dat het VK de EU daadwerkelijk verlaat, zullen er aanvullende waarborgen moeten worden getroffen zolang de EC nog geen adequaatheidsbeslissing heeft genomen. Organisaties vragen zich af hoe met een no-dealbrexit en de AVG om te gaan. Daarom hebben de Europese toezichthouders (waaronder de Autoriteit Persoonsgegevens) op 12 februari een instructie voor doorgifte van persoonsgegevens naar het VK bij een no-dealbrexit gepubliceerd. Deze instructie vindt u hier.

De instructie
Uit de instructie volgen vijf stappen die een organisatie moet zetten om zich voor te bereiden op een no-dealbrexit. Deze stappen zijn:

  1. Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het VK worden doorgegeven;
  2. Bepalen welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is (zie hieronder);
  3. Ervoor zorgen dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 klaar is voor gebruik;
  4. In uw interne documenten aangeven dat er persoonsgegevens aan het VK worden doorgegeven;
  5. Uw privacyverklaring aanpassen om de lezers van uw situatie op de hoogte te stellen.

Ten aanzien van instrumenten (2) kan worden gedacht aan het maken van afspraken met de partij in het VK aan wie persoonsgegevens worden doorgegeven. Bijvoorbeeld over het gebruik maken van standaardbepalingen voor gegevensbescherming die door de EC zijn goedgekeurd.

Er kan ook gebruik worden gemaakt van bindende bedrijfsvoorschriften. Onder bindende bedrijfsvoorschriften wordt verstaan het beleid dat een groep ondernemingen hanteert voor de bescherming van persoonsgegevens. Met dit beleid tracht de groep passende waarborgen te bieden voor de doorgifte van persoonsgegevens binnen de groep. Zowel binnen als buiten de EER.

Daarnaast kan gebruik worden gemaakt van een gedragscode of certificeringsmechanisme die waarborgen bieden voor de doorgifte van persoonsgegevens. De gedragscode of het certificeringsmechanisme dient dan bindende en afdwingbare toezeggingen te bevatten van de organisatie in het derde land die in het belang van de natuurlijk persoon zijn.

De hoofdregel is aldus dat passende waarborgen moeten worden getroffen voor doorgifte van persoonsgegevens naar derde landen. Of, dat de gegevens op basis van een adequaatheidsbesluit worden doorgegeven. Onder omstandigheden is een afwijking toegestaan. Wat toegestane afwijkingen zijn vindt u hier.

Publieke autoriteiten kunnen overwegen om mechanismen te gebruiken die volgens de AVG beter bij hun omstandigheden passen. Een optie is om daarvoor een juridisch bindend en afdwingbaar instrument te gebruiken, zoals een overeenkomst. Of, een administratieve regelingen die – na advies van de EDPB – goed is gekeurd door de bevoegde nationale toezichthoudende autoriteit.

Meer informatie
Wilt u meer informatie ontvangen over het doorgeven van persoonsgegevens aan de VK na de Brexit? Neem dan contact op met team Privacy, zij zijn u graag van dienst.

[1] Bij de Europese Economische Ruimte (EER) horen alle EU-landen en Liechtenstein, Noorwegen en IJsland.