Spring naar content

Wat was er gebeurd zonder deal?

Hiermee wordt een doemscenario afgewend waarbij een groot deel van het dataverkeer naar het VK onrechtmatig zou worden op 1 januari 2021. Doorgifte van persoonsgegevens is – zeker na de Schrems II-uitspraak van vorig jaar – complexe materie, met veel onzekerheden. Het is mogelijk om dataverkeer rechtmatig te maken met Standard Contractual Clauses, maar dat vergt een juridische analyse van het Britse rechtssysteem om te checken of de ontvanger van die data de afspraken uit dat modelcontract wel kon nakomen. In de VS is dat bijvoorbeeld niet mogelijk in situaties waarbij inlichtingendiensten zich toegang kunnen verschaffen tot persoonsgegevens. Dat risico ligt ook in het VK op de loer, waar inlichtingendiensten ook vergaande bevoegdheden hebben. Het risico zou dan volledig bij de verwerkingsverantwoordelijke liggen om daarvan een analyse te maken en door aanvullende maatregelen (bijv. client-side encryptie) die risico’s weg te nemen. Dat is een flinke verantwoordelijkheid, die zeker voor kleinere organisaties vrijwel onmogelijk lijkt.

Geen AVG-veranderingen: uitstel van executie?

Het akkoord bevat een ‘overbruggingsmechanisme’, waarmee er een tijdelijke gedoogperiode is ingegaan van vier maanden, die eenmalig verlengd kan worden met twee maanden. Gedurende die gedoogperiode wordt doorgifte van persoonsgegevens naar het VK niet beschouwd als doorgifte buiten de Europese Economische Ruimte (EER), terwijl het dat feitelijk wel is. Voor doorgifte vanuit het VK naar landen in de EER wordt het Britse transfermechanisme tijdelijk geschorst. De situatie is vanuit de AVG bekeken dus nog hetzelfde als voordat het VK de EER heeft verlaten.

Oplossing voor de lange termijn

De gedoogperiode geeft de Europese Commissie de tijd om een ‘adequaatheidsbesluit’ te nemen voor het VK. Zo’n besluit kennen we van het Privacy Shield-mechanisme dat tot de Schrems II uitspraak van het Europese Hof van Justitie de doorgifte naar de VS rechtmatig maakte. Door die uitspraak van de hoogste Europese rechter is de druk op de Commissie groot om met een gedegen mechanisme te komen. Een mechanisme waarbij de doorgifte van data niet te veel beperkt wordt, maar waar de zorgen over gegevensbescherming in het VK voldoende afgedekt zijn. De klok tikt inmiddels, het is afwachten waarmee de Commissie komt.

Hoe kun je je nu voorbereiden?

Hoewel iedereen hoopt op een adequaatheidsbesluit is het risicovol om ervan uit te gaan dat dit er op tijd zal komen. Als Brexit ons één ding geleerd heeft, is het dat dingen altijd langer duren dan aanvankelijk het geval lijkt. Zorg er dus voor dat je voor doorgiften SCC’s achter de hand hebt. Wil je daar meer over weten? Lees dan deze Explained over datadoorgifte, of stuur je vraag naar legal@ddma.nl.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA

Ook interessant

Lees meer
Conversion Rate Optimisation |

Dark patterns – wat mag wel en niet volgens de EDPB

De European Data Protection Board (EDPB – koepel van alle Europese privacytoezichthouders) heeft nieuwe guidelines vastgesteld over het herkennen en vermijden van dark patterns op sociale media. De guideline is…
Lees meer
Legal |

Europees akkoord op nieuwe regels voor digitale diensten

In de nacht van vrijdag 23 op zaterdag 24 april hebben de Europese instellingen (wederom) bewezen dat niet alle wetgevingsprocessen langdurig zijn. Rond de klok van twee is er namelijk…
Lees meer
Legal |

Striktere regels voor onlinemarktplaatsen, gebruikersreviews en gepersonaliseerde prijzen

Het (online) consumentenrecht verandert per 28 mei 2022. Vanaf die datum is de Moderniseringsrichtlijn van toepassing. De richtlijn introduceert allerlei nieuwe consumentenregels waar bedrijven rekening mee moeten houden. Voor online…