AVG en Brexit

De AVG is in mei 2018 in werking getreden voor alle Europese lidstaten. Als alles volgens plan verloopt, treedt Groot-Brittannië in het voorjaar van 2019 uit de Europese Unie. Dit heeft gevolgen voor de positie van Groot-Brittannië in het kader van de privacywetgeving, tenzij er heel snel oplossingen worden gevonden.

In maart 2019 treedt Groot-Brittannië uit de EU. Op dat moment wordt Groot-Brittannië een “derde land”. Ieder land buiten het grondgebied van de EU, wordt aangeduid als een derde land. In beginsel is het verboden om persoonsgegevens op te slaan in of uit te wisselen met een partij in Groot-Brittannië. Dit is slechts anders indien aanvullende maatregelen worden getroffen of indien het land volgens de EU een passend beschermingsniveau heeft. In dat geval wordt een adequaatheidsbesluit toegekend. We hebben de laatste tijd echter gezien dat het ongeveer 1 ½ jaar duurt voordat een adequaatheidsbesluit daadwerkelijk wordt genomen, omdat voorafgaand daaraan vaak nog nationale wetgeving moet worden aangepast.

De kans is dus groot dat er in maart 2019 geen adequaatheidsbesluit ligt. In dat geval is het verwerken van persoonsgegevens in de UK niet toegestaan voor zover het gaan om verwerking van persoonsgegevens van EU burgers. Maakt u of uw verwerker gebruik van servers in Groot-Brittannië? Dan moet u op zoek naar een locatie in een ander land.

Een andere mogelijkheid is dat u een EU modelcontract sluit met de partij in Groot-Brittannië. Deze ‘standard contractual clauses’ verplichten de partij in Groot-Brittannië ertoe om hetzelfde beschermingsniveau als dat van de AVG toe te passen. Maar u dient er dan wel op toe te zien dat dat ook daadwerkelijk in praktijk wordt gebracht. Indien de partij in Groot-Brittannië niet wil meewerken aan het sluiten van een modelcontract, heeft u geen andere keus dan op zoek te gaan naar een andere partner.

In concernverband biedt de AVG u nog een extra mogelijkheid: het overeenkomen van Binding Corporate Rules. Deze BCR’s gelden voor het hele concern en schrijven voor hoe wordt omgegaan met persoonsgegevens. Deze BCR’s dienen dan wel te worden goedgekeurd door de toezichthouder in het land van de hoofdvestiging van het concern. Ook dit duurt vaak 1 tot 2 jaar, afhankelijk van de toezichthouder, en biedt dus waarschijnlijk ook geen directe oplossing op het moment van de Brexit.

Heeft u vragen over het effect van de Brexit op de AVG? Wilt u meer weten over standard contractual clauses, doorgifte van persoonsgegevens naar derde landen of binding corporate rules? Neem dan contact op Team Privacy.

731 
Ik help u graag verder
Monique Schreurs
Partner
Meest gelezen
  • ‘Kopietje paspoort’
  • ‘Oude’ pandeigenaren versus nieuw...
  • “Als lekkerste getest” niet...
  • “Detachering” leerling is verwijdering
  • (Tucht)procedures en wijziging Wet BIG: meer...

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.

Privacy Settings saved!
Privacy-instellingen

Wanneer u een website bezoekt, kan het informatie in uw browser opslaan of ophalen, meestal in de vorm van cookies. Beheer hier uw persoonlijke Cookie Services.

Deze cookies zijn nodig om de website te laten functioneren en kunnen niet worden uitgeschakeld in onze systemen.

In order to use this website we use the following technically required cookies
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Omwille van de prestaties gebruiken we Cloudflare als een CDN-netwerk. Hiermee wordt een cookie "__cfduid" opgeslagen om beveiligingsinstellingen per client toe te passen. Deze cookie is strikt noodzakelijk voor de beveiligingsfuncties van Cloudflare en kan niet worden uitgeschakeld.
  • __cfduid

Geen toestemming
Wel toestemming