Overzicht Actueel

De gevolgen van Brexit voor dataverkeer tussen EU en UK

Nadat het Verenigd Koninkrijk op 31 januari 2020 de Europese Unie heeft verlaten geldt er een overgangsperiode tot en met 31 december 2020. In deze periode moet het VK zich houden aan alle EU-regels en wetten. Wat daarna gebeurt is nog onduidelijk, maar het is wel zeker dat dit invloed heeft op het dataverkeer tussen de EU en het VK. In dit artikel ga ik in op de belangrijkste gevolgen van Brexit voor dataverkeer.

Dit artikel is gebaseerd op input van Asli Yildiz (Head of Legal), John Mitchison (Director of Policy and Compliance) en Michael Sturrock (Head of Public Affairs) van DDMA-zustervereniging DMA UK. Zij waren op 24 november te gast tijdens een DDMA Digital Talk om onze leden bij te praten over dit onderwerp.

Deal or no deal?

Al jaren is het de vraag in hoeverre er een afspraak tussen de EU en het VK komt wanneer ze de Europese Unie verlaten. Dat is ook van groot belang voor het dataverkeer tussen de EU en het VK. Op dit moment houdt het VK zich nog aan de AVG, maar na de transitieperiode is dat geen gegeven meer. De DMA UK heeft tijdens de sessie benadrukt dat zij hopen dat de Britse regering ervoor kiest om zo dicht mogelijk bij de AVG te blijven. Dat is geen zekerheid, aangezien er ook stemmen opgaan voor een meer Amerikaans of zelfs Chinees model van gegevensbescherming.

Enkele belangrijke factoren die nog niet vast staan:

  • Blijft het VK haar wetgeving spiegelen aan de AVG?
  • Zal het VK uitspraken van het Europees Hof van Justitie blijven volgen?
  • Wat wordt de positie van de Britse toezichthouder?

Wat betekent dit als je data doorgeeft naar het VK?

Wie data doorgeeft buiten de EU (formeel Europese Economische Ruimte) moet ervoor zorgen dat die gegevens ook buiten de EU goed beschermd worden. De AVG kent daarvoor verschillende regimes, waarvan het zgn. ‘adequaatheidsbesluit’ het meest bekend is. Wanneer de Europese Commissie besluit dat een niet-EU land adequaat beschermingsniveau biedt kunnen Europese organisaties data doorgeven zonder dat er aanvullende maatregelen genomen moeten worden. Informeren over de doorgifte is dan voldoende. Het bekendste adequaatheidsbesluit is het Privacy Shield. Die afspraak met de Verenigde Staten werd deze zomer ongeldig verklaard door het Europees Hof van Justitie.

DMA UK en alle organisaties die belang hebben bij dataverkeer tussen het VK en de EU hopen op zo’n adequaatheidsbesluit, maar na het ongeldig verklaren van het Privacy Shield is het allerminst zeker dat de Europese Commissie een dergelijk besluit zal nemen. De meeste aandacht gaat daarbij naar de vergaande bevoegdheden van inlichtingendiensten in het VK, een punt van zorg dat aan de basis lag van het Privacy Shield besluit van het Europees Hof van Justitie.

Naast de vraag of er een adequaatheidsbesluit komt, is er de vraag wanneer dat het geval zou kunnen zijn. Formeel kan de Commissie een dergelijk besluit pas nemen zodra een land een niet-EU-land is, maar naar verluidt wordt er op de achtergrond al druk onderhandeld over een akkoord. De normale procedure duurt jaren, maar het is de verwachting dat het in deze uitzonderlijke situatie mogelijk is om eerder tot een akkoord te komen. Het lijkt erop dat tijd een minder groot issue is dan de vraag of een besluit er überhaupt komt.

Wat als er geen adequaatheidsbesluit komt?

Dan biedt de AVG een gelimiteerd aantal opties voor de partij die data ‘exporteert’. Die lijst zal ook voor het VK de enige opties bieden. In onze sector zijn de meest voor de hand liggende opties:

  1. Binding Corporate Rules: afspraken binnen een bedrijfsstructuur die over landsgrenzen heen reikt, voor doorgifte binnen de organisatie
  2. Gedragscodes die goedgekeurd zijn door de toezichthouder
  3. Standard Contractual Clauses (SCC’s): modelcontracten tussen de ‘exporteur’ en ‘importeur’ aanvullend op een eventuele verwerkersovereenkomst)
  4. Toestemming van de betrokkene

In Nederland is bij de Autoriteit Persoonsgegevens een enorme achterstand ontstaan bij het goedkeuren van Binding Corporate Rules. De meest recente inschatting van de toezichthouder is dat een nieuw verzoek 5 tot 7 jaar op goedkeuring zal moeten wachten. Daardoor is dit in het geval van Brexit geen realistische optie. Brexit duurt erg lang, maar het is te verwachten dat de EU en het VK er binnen 5 jaar wel uit zijn. Omdat ook gedragscodes langdurige trajecten zijn blijven enkel toestemming en SCC’s over. Voor geldige toestemming moet aan een groot aantal eisen voldaan worden, waaronder de eis dat het op ieder moment zonder nadelige gevolgen kan worden ingetrokken. Dat maakt het een onpraktisch instrument voor doorgifte. Dit is waardoor SCC’s door velen gezien worden als de meest realistische optie in het geval van het ontbreken van een adequaatheidsbesluit. Let op: de Europese Commissie publiceerde recent de conceptversies voor de nieuwe SCC’s. Gebruik tot deze definitief zijn goedgekeurd de oude SCC’s.

Wat is de impact van de Schrems II-uitspraak op dataverkeer naar het VK?

Naast dat er kritischer gekeken zal worden of er een adequaatheidsbesluit wordt genomen, is er nog een tweede manier waarom de Schrems II-uitspraak dataverkeer naar het VK beïnvloedt. De hoogste Europese rechtbank bepaalde namelijk ook dat de SCC’s op zichzelf niet voldoende zijn om te zorgen voor passende waarborgen bij doorgifte. Die modelcontracten zijn immers een afspraak tussen twee organisaties, en het Hof bepaalde dat ook de context daarbij moet meegenomen worden. Met name de vraag of de ontvangende partij in het buitenland wel in staat is om de afspraken uit de SCC’s na te komen. De exporteur van persoonsgegevens heeft volgens het Hof de plicht om die analyse te maken voordat doorgifte plaatsvindt. Wanneer er bijvoorbeeld het risico heerst dat inlichtingendiensten de gegevens bij de importeur kunnen opvragen, is het aan de exporteur om te zorgen dat er extra maatregelen worden genomen om die risico’s weg te nemen. Een flinke opgave, die ook in het geval van het VK nodig zal zijn, aangezien de inlichtingendiensten in het VK vergaande bevoegdheden hebben. Het kan dus nodig zijn om aanvullende maatregelen te treffen. Meer informatie vanuit DDMA over de impact van Schrems vind je in deze handleiding Explained: Data delen buiten de EU. Vanuit de EDPB zijn deze aanbevelingen gepubliceerd. Let op: het gaat nog om een conceptversie, maar bij de EDPB wijken de concept- en definitieve versies meestal weinig af.

Tot slot enkele take-aways van DDMA-zustervereniging DMA UK:

  • Bereid je voor op een no-deal Brexit
  • Bereid je voor op het uitblijven van- of een zeer laat adequaatheidsbesluit
  • Zorg voor SCC’s als back-up optie
  • Lever input op de conceptversies van de nieuwe SCC’s
  • Neem contact op met partners in het VK waarmee persoonsgegevens worden uitgewisseld
  • Zorg dat binnen je organisatie de juiste mensen aangehaakt zijn

Informatiebronnen van DMA UK:

ICO guidance on Brexit
DCMS guidance on no deal Brexit
DMA Guidance on Brexit (Alleen voor leden van DMA UK)