Spring naar content

Wat was er gebeurd zonder deal?

Hiermee wordt een doemscenario afgewend waarbij een groot deel van het dataverkeer naar het VK onrechtmatig zou worden op 1 januari 2021. Doorgifte van persoonsgegevens is – zeker na de Schrems II-uitspraak van vorig jaar – complexe materie, met veel onzekerheden. Het is mogelijk om dataverkeer rechtmatig te maken met Standard Contractual Clauses, maar dat vergt een juridische analyse van het Britse rechtssysteem om te checken of de ontvanger van die data de afspraken uit dat modelcontract wel kon nakomen. In de VS is dat bijvoorbeeld niet mogelijk in situaties waarbij inlichtingendiensten zich toegang kunnen verschaffen tot persoonsgegevens. Dat risico ligt ook in het VK op de loer, waar inlichtingendiensten ook vergaande bevoegdheden hebben. Het risico zou dan volledig bij de verwerkingsverantwoordelijke liggen om daarvan een analyse te maken en door aanvullende maatregelen (bijv. client-side encryptie) die risico’s weg te nemen. Dat is een flinke verantwoordelijkheid, die zeker voor kleinere organisaties vrijwel onmogelijk lijkt.

Geen AVG-veranderingen: uitstel van executie?

Het akkoord bevat een ‘overbruggingsmechanisme’, waarmee er een tijdelijke gedoogperiode is ingegaan van vier maanden, die eenmalig verlengd kan worden met twee maanden. Gedurende die gedoogperiode wordt doorgifte van persoonsgegevens naar het VK niet beschouwd als doorgifte buiten de Europese Economische Ruimte (EER), terwijl het dat feitelijk wel is. Voor doorgifte vanuit het VK naar landen in de EER wordt het Britse transfermechanisme tijdelijk geschorst. De situatie is vanuit de AVG bekeken dus nog hetzelfde als voordat het VK de EER heeft verlaten.

Oplossing voor de lange termijn

De gedoogperiode geeft de Europese Commissie de tijd om een ‘adequaatheidsbesluit’ te nemen voor het VK. Zo’n besluit kennen we van het Privacy Shield-mechanisme dat tot de Schrems II uitspraak van het Europese Hof van Justitie de doorgifte naar de VS rechtmatig maakte. Door die uitspraak van de hoogste Europese rechter is de druk op de Commissie groot om met een gedegen mechanisme te komen. Een mechanisme waarbij de doorgifte van data niet te veel beperkt wordt, maar waar de zorgen over gegevensbescherming in het VK voldoende afgedekt zijn. De klok tikt inmiddels, het is afwachten waarmee de Commissie komt.

Hoe kun je je nu voorbereiden?

Hoewel iedereen hoopt op een adequaatheidsbesluit is het risicovol om ervan uit te gaan dat dit er op tijd zal komen. Als Brexit ons één ding geleerd heeft, is het dat dingen altijd langer duren dan aanvankelijk het geval lijkt. Zorg er dus voor dat je voor doorgiften SCC’s achter de hand hebt. Wil je daar meer over weten? Lees dan deze Explained over datadoorgifte, of stuur je vraag naar legal@ddma.nl.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA

Ook interessant

Lees meer
AVG |

Boete € 4.750.000 voor Netflix vanwege onvoldoende informeren over privacy

Weer een succesvolle actie van privacyorganisatie None Of Your Business (NOYB). In 2019 diende zij klachten in bij de Autoriteit Persoonsgegevens (AP) over streamingdienst Netflix. Uit onderzoek van de AP…
Lees meer
AVG |

Legal Member Meetup: KNLTB-zaak en de betekenis voor de Marketingsector

Op 12 december 2024 vond de maandelijkse Legal Member Meetup plaats, met de KNLTB-zaak als centraal onderwerp. Advocaten Olivia van Rikxoort en Saskia Vermeer – de Jongh van HVG Law…
Lees meer
AI Act |

Europese Commissie publiceert concept van ‘code of practice’ voor gebruik LLM’s

De Europese Commissie heeft op 14 november de eerste conceptversie van de Code of Practice voor General Purpose AI modellen (Code) gepubliceerd. De Code moet straks meer invulling geven aan…