Brexit-akkoord: wat is er afgesproken over dataverkeer

Wat was er gebeurd zonder deal?

Hiermee wordt een doemscenario afgewend waarbij een groot deel van het dataverkeer naar het VK onrechtmatig zou worden op 1 januari 2021. Doorgifte van persoonsgegevens is – zeker na de Schrems II-uitspraak van vorig jaar – complexe materie, met veel onzekerheden. Het is mogelijk om dataverkeer rechtmatig te maken met Standard Contractual Clauses, maar dat vergt een juridische analyse van het Britse rechtssysteem om te checken of de ontvanger van die data de afspraken uit dat modelcontract wel kon nakomen. In de VS is dat bijvoorbeeld niet mogelijk in situaties waarbij inlichtingendiensten zich toegang kunnen verschaffen tot persoonsgegevens. Dat risico ligt ook in het VK op de loer, waar inlichtingendiensten ook vergaande bevoegdheden hebben. Het risico zou dan volledig bij de verwerkingsverantwoordelijke liggen om daarvan een analyse te maken en door aanvullende maatregelen (bijv. client-side encryptie) die risico’s weg te nemen. Dat is een flinke verantwoordelijkheid, die zeker voor kleinere organisaties vrijwel onmogelijk lijkt.

Geen AVG-veranderingen: uitstel van executie?

Het akkoord bevat een ‘overbruggingsmechanisme’, waarmee er een tijdelijke gedoogperiode is ingegaan van vier maanden, die eenmalig verlengd kan worden met twee maanden. Gedurende die gedoogperiode wordt doorgifte van persoonsgegevens naar het VK niet beschouwd als doorgifte buiten de Europese Economische Ruimte (EER), terwijl het dat feitelijk wel is. Voor doorgifte vanuit het VK naar landen in de EER wordt het Britse transfermechanisme tijdelijk geschorst. De situatie is vanuit de AVG bekeken dus nog hetzelfde als voordat het VK de EER heeft verlaten.

Oplossing voor de lange termijn

De gedoogperiode geeft de Europese Commissie de tijd om een ‘adequaatheidsbesluit’ te nemen voor het VK. Zo’n besluit kennen we van het Privacy Shield-mechanisme dat tot de Schrems II uitspraak van het Europese Hof van Justitie de doorgifte naar de VS rechtmatig maakte. Door die uitspraak van de hoogste Europese rechter is de druk op de Commissie groot om met een gedegen mechanisme te komen. Een mechanisme waarbij de doorgifte van data niet te veel beperkt wordt, maar waar de zorgen over gegevensbescherming in het VK voldoende afgedekt zijn. De klok tikt inmiddels, het is afwachten waarmee de Commissie komt.

Hoe kun je je nu voorbereiden?

Hoewel iedereen hoopt op een adequaatheidsbesluit is het risicovol om ervan uit te gaan dat dit er op tijd zal komen. Als Brexit ons één ding geleerd heeft, is het dat dingen altijd langer duren dan aanvankelijk het geval lijkt. Zorg er dus voor dat je voor doorgiften SCC’s achter de hand hebt. Wil je daar meer over weten? Lees dan deze Explained over datadoorgifte, of stuur je vraag naar legal@ddma.nl.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA