Brexit: tijdelijke voorwaarden houden gegevensstroom op gang

'Head in de cloud, feet on the ground!'

Wat betekent de Brexit voor het uitwisselen van persoonsgegevens tussen de EU en het Verenigd Koninkrijk (VK)? Deze werden immers tot de uittreding van het VK uit de EU beschermd onder de Europese General Data Protection Regulation (GDPR). Nu de Brexit een feit is, is het VK echter volgens de GDPR een ‘derde land’. De handels- en samenwerkingsovereenkomst tussen de EU en het VK die per 1 januari 2021 in werking treedt, voorziet in een tijdelijke oplossing. Daarna moet alles geregeld zijn met een adequaatheidsbesluit van de Europese Commissie. De vraag is nog maar of dit op tijd gaat lukken. Bedrijven en overheidsorganisaties doen er daarom goed aan zich voor te bereiden op een situatie waarbij het VK, ten minste voorlopig, een derde land blijft. Daarvoor zijn verschillende mechanismen beschikbaar.

Het goede nieuws is dat Europese organisaties vooralsnog gewoon gegevens kunnen blijven uitwisselen met het Verenigd Koninkrijk onder de GDPR. De handels- en samenwerkingsovereenkomst tussen de EU en het VK bepaalt dat de huidige regels nog maximaal zes maanden gelden. Het streven is dat de Europese Commissie gedurende die periode een adequaatheidsbesluit afgeeft waarmee de gegevensoverdracht ook daarna voort kan duren. Toch is het verstandig dat Europese organisaties ook andere maatregelen treffen om de levering van producten en diensten aan het VK niet te onderbreken.

In dit blog geven we je een uitleg over de situatie in grote lijnen. Deze is niet bedoeld als advies of richtlijn voor het nemen van beslissingen over de gegevensoverdracht van jouw organisatie met het VK. Voor alle juridische details verwijzen we je naar de tekst van de handels- en samenwerkingsovereenkomst.

De situatie na 31 december 2020
Het Verenigd Koninkrijk (VK) verliet de EU officieel op 31 januari 2020. Daarna ging een overgangsperiode van start waarin de voorwaarden voor de toekomstige samenwerking werden opgesteld. Deze periode eindigde op 31 december 2020 en vanaf 1 januari 2021 is het VK voor wat betreft de GDPR een ‘derde land’. Dit betekent dat de overdracht van persoonsgegevens tussen de EU en het VK verboden is, tenzij:

  • De Europese Commissie een ‘adequaatheidsbesluit’ afgeeft dat het beschermingsniveau van het VK passend verklaart met dat van de EU (dat de Britse wetgeving voor gegevensbescherming in het VK “in wezen hetzelfde” is als die van de GDPR).
  • Organisaties uit de EU die gegevens uitwisselen met het VK extra maatregelen treffen om te garanderen dat voor deze gegevens dezelfde beschermingsregels gelden als die van de GDPR.

Zowel de EU als het VK zien natuurlijk graag dat het VK een formele adequaatheidsstatus krijgt. Dat zou de voortzetting van de vrije gegevensoverdracht tussen de EU naar het VK mogelijk maken zonder dat de exporterende of importerende organisaties extra maatregelen hoeven te nemen. De tweede optie geldt in het geval dat dit niet binnen de gestelde termijn lukt. Europese organisaties doen er verstandig aan op beide paarden te wedden.

Adequaatheidsbesluit: het Privacy Shield gooit roet in het eten
De wens van de EU en het VK om ongestoord door te gaan met de vrije gegevensoverdracht kwam niet meteen op 1 januari 2021 in vervulling. Dit komt deels door het besluit van het Europese Hof van Justitie over het Privacy Shield-verdrag tussen de EU en de VS uit juli 2020. Het Hof oordeelde dat dit verdrag niet voldeed aan de eis van de GDPR dat wetgeving voor gegevensbescherming in derde landen “in wezen hetzelfde” moet zijn als die van de EU. De wetgeving in de VS maakt het echter mogelijk dat instanties voor wetshandhaving en inlichtingendiensten toegang hebben tot Amerikaanse datacenters waar gegevens van EU-burgers worden opgeslagen en verwerkt. Het Hof verklaarde het Privacy Shield-verdrag daarom ongeldig. Vanwege dat besluit moesten Europese toezichthouders op gegevensbescherming veel strengere eisen stellen aan gegevensoverdracht tussen de EU en derde landen.

Voor de nieuwe afspraken tussen de EU en het VK kan de Britse surveillance-wetgeving een adequaatheidsbesluit tegenhouden. Het onderzoek naar de maatregelen die het VK neemt voor de bescherming van persoonsgegevens van EU-burgers vergt veel tijd. In elk geval meer tijd dan er na de uitspraak van het Hof nog restte in de overgangsperiode tot 31 december 2020. Dit zou betekenen dat de gegevensoverdracht tussen de EU en het VK na deze datum niet meer mogelijk was.

Overbruggingsafspraak voorkomt dat de gegevensstromen stoppen
De EU en het VK zijn per 1 januari 2021 een handels- en samenwerkingsovereenkomst aangegaan die hiervoor een oplossing biedt. Deze overeenkomst voorziet in een tijdelijke verlenging van de overgangsperiode, zodat de overheden alsnog afspraken kunnen maken over de doorgifte van persoonsgegevens. Tijdens deze periode beschouwt de EU het VK niet als een derde land en kan de gegevensoverdracht gewoon doorgaan onder de GDPR. Deze overgangsperiode begint op 1 januari 2021 en eindigt:

  • op de datum waarop een adequaatheidsbesluit voor het VK wordt afgegeven door de European Commissie, of
  • vier maanden nadat de overgangsperiode begint. Dit kan met nog eens twee maanden verlengd worden, tenzij de EU of het VK hier bezwaar tegen maakt.

Het blijft dus gedurende maximaal zes maanden na 1 januari 2021 mogelijk om persoonsgegevens vrijelijk over te dragen tussen de EU en het VK. Extra maatregelen zijn hiervoor (nog) niet nodig. Men verwacht dat er snel een adequaatheidsbesluit wordt afgegeven, mogelijk al in de eerste helft van 2021. De Britse overheid belooft bovendien dat het ervoor zal zorgen dat de privacywetgeving blijft aansluiten bij de Europese wetgeving. Toch is het nog allerminst zeker of het adequaatheidsbesluit er echt al tijdens de overgangsperiode komt.

De Europese Commissie heeft in het verleden al adequaatheidsbesluiten afgegeven voor andere ‘derde landen’, zoals Canada, Israël, Japan en Zwitserland. Dat gebeurde echter nooit binnen zes maanden; het onderzoek nam soms wel vijf jaar in beslag. Na de uitspraak van het Europese Hof van Justitie over het Privacy Shield-verdrag moet men bovendien nog veel grondiger te werk gaan. De Europese Commissie moet niet alleen de privacywetgeving van het VK beoordelen, maar ook de wetgeving voor de veiligheidsdiensten. Als die volgens de EU te ver gaan, komt de voortzetting van de vrije gegevensoverdracht in het geding. Zonder adequaatheidsbesluit zullen gegevens niet langer ongehinderd over de grenzen stromen. Het is lastig te voorspellen hoe lang dit proces voor het VK gaat duren, want de Britse tegenhanger van de Wet op de inlichtingen- en veiligheidsdiensten is nooit getoetst aan de GDPR.

Alternatieve mechanismen voorkomen blokkade in de gegevensstromen
De UK Information Commissioner’s Office (de ICO), de Britse tegenhanger van onze Autoriteit Persoonsgegevens, juicht de verlening van de overgangsperiode voor het regelen van de gegevensoverdracht tussen de EU en het VK toe. “Dit is de best mogelijke uitkomst voor organisaties in het VK die persoonsgegevens uit de EU verwerken”, zegt Information Commissioner Elizabeth Denham. “Dit betekent dat bedrijven erop kunnen vertrouwen dat de vrije stroom van persoonsgegevens mogelijk is na 1 januari, zonder dat zij veranderingen hoeven te maken in hun maatregelen voor gegevensbescherming.”

Tegelijkertijd houdt de ICO een slag om de arm. Denham adviseert bedrijven om toch maatregelen te nemen die verstoringen in de toekomstige vrijelijke gegevensoverdracht voorkomen voor het geval er niet tijdig een adequaatheidsbesluit komt.

Tot deze maatregelen behoren onder meer:

  • Het aangaan van modelcontractbepalingen met gegevensverwerkers (zie hieronder).
  • Het implementeren van bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR’s). Dit zijn voorschriften met betrekking tot de bescherming van persoonsgegevens waartoe een organisatie zich verplicht voor de doorgifte van persoonsgegevens binnen een groep van ondernemingen naar een derde land. In Nederland hanteren onder meer ABN Amro, ADP, Philips, Shell en Unilever een BCR.
  • Het opstellen van contractbepalingen. Dit biedt ruimte voor een zekere mate van flexibiliteit in de overeenkomst tussen gegevensverantwoordelijken en -verwerkers in een derde land. De contractbepalingen vereisen echter wel voorafgaande toestemming van de toezichthoudende autoriteiten. Voor een doorgifte op basis van modelcontractbepalingen of bindende bedrijfsvoorschriften is geen verdere toestemming nodig.
  • Het benutten van de uitzonderingen in de GDPR. Indien er geen adequaatheidsbesluit is afgegeven kan de gegevensoverdracht naar een derde land bij uitzondering toch plaatsvinden indien men voldoet aan specifieke voorwaarden waarin de GDPR voor dit doel voorziet.

Modelcontractbepalingen als alternatief voor een adequaatheidsbesluit
Indien er geen adequaatheidsbesluit is afgegeven voor een derde land, kunnen bedrijven en overheidsorganisaties terugvallen op modelcontractbepalingen (Standard Contractual Clauses, SCCs) tussen verwerkingsverantwoordelijken en gegevensverwerkers. Het Hof liet dit mechanisme wel in stand in de uitspraak over het Privacy Shield-verdrag. Het Hof benadrukt dat de beoordeling van de modelcontractbepalingen de verantwoordelijkheid is van de verwerkingsverantwoordelijken zelf. Dit betekent echter dat organisaties met elke afzonderlijke leverancier afspraken moeten vastleggen over de maatregelen voor de privacybescherming. Vooral voor bedrijven met meerdere leveranciers in het VK kan dat een hoop werk opleveren.

Bestaande persoonsgegevens
Hoe zit het nu met de persoonsgegevens die in het verleden al werden verzameld en verwerkt in het VK? De handelsovereenkomst bepaalt dat de verlengde overgangsperiode ook hierop van toepassing is. Voor het geval dat het adequaatheidsbesluit van de EU er niet (tijdig) komt, is het raadzaam dat bedrijven en organisaties inventariseren welke persoonsgegevens zij bezitten en of deze in het VK zijn opgeslagen of verwerkt. Zo kunnen zij inzichtelijk maken op welke bestaande persoonsgegevens de EU wetgeving van toepassing is en dus vragen om aanvullende maatregelen.

Aanstellen van een EU- of VK-vertegenwoordiger
Voor derde landen geldt dat organisaties die persoonsgegevens van EU-burgers verzamelen en verwerken een vertegenwoordiger moeten aanstellen in de EU. Zonder adequaatheidsbesluit geldt dat ook voor het VK. Andersom heeft het VK vergelijkbare bepalingen voor bedrijven in derde landen. Deze zijn ook van toepassing op organisaties in de EU indien een adequaatheidsbesluit niet (tijdig) wordt afgegeven.

Europese organisaties en bedrijven doen er goed aan om vast te stellen of deze vereiste op hen van toepassing is. Zo ja, dan moeten zij een vertegenwoordiger in het VK aanstellen. Men moet bovendien de kennisgeving over de GDPR-compliance aanpassen indien het VK gezien wordt als een derde land. De kennisgeving moet dan de maatregelen beschrijven die men neemt om gegevens te beschermen (bijvoorbeeld door middel van modelcontractbepalingen). De rapportages over de verwerkingsactiviteiten moeten ook bijgewerkt worden, zodat deze de mechanismen voor gegevensoverdracht naar het VK vermelden.

Het is bovendien verstandig dat organisaties deze kwesties bespreken met hun leveranciers. Welke maatregelen nemen zij om verstoringen in de levering van goederen en diensten te voorkomen als het VK met betrekking tot de gegevensoverdracht een derde land wordt?

Conclusies
Hoewel de handelsovereenkomst tussen de EU en het VK ingaat op 1 januari 2021, moet de Europese Raad die nog aannemen en moet het Europese Parlement die nog goedkeuren. Daarna moeten de 27 lidstaten het verdrag ratificeren. Pas dan kan het geïmplementeerd worden. Ook het Britse parlement moet het verdrag nog aannemen. De Europese Commissie moet nog een adequaatheidsbesluit afgeven voor het VK. Het heeft hiervoor maximaal 6 maanden de tijd. De ervaring leert dat het mogelijk niet binnen deze periode gaat lukken.

Organisaties die persoonsgegevens uitwisselen met het VK doen er verstandig aan om een aanpak te implementeren die de overdracht van persoonsgegevens mogelijk blijft maken indien het adequaatheidsbesluit niet (tijdig) voor het VK wordt afgegeven. Tot deze maatregelen behoren onder meer het gebruik van modelcontractbepalingen, bindende bedrijfsvoorschriften en het gebruik van de uitzonderingen waarin de GDPR voorziet.