Tag

EER

AVG EN BREXIT: WAT ZIJN DE GEVOLGEN?

By | Geen onderdeel van een categorie | No Comments

https://www.smithanddoe.com/avg-en-brexit-wat-zijn-de-gevolgen

Wat zijn onder de Algemene Verordening Gegevensbescherming (AVG) de gevolgen van de Brexit voor Nederlandse organisaties?

Data-export verbod

De gevolgen onder de AVG hebben vooral te maken met het doorgeven van persoonsgegevens naar het Verenigd Koninkrijk, daaronder valt ook het daar opslaan van persoonsgegevens. Bijvoorbeeld als er gebruik wordt gemaakt van Britse leveranciers, of er gegevens worden uitgewisseld met een Britse groepsmaatschappij. Dit wordt ook wel ‘data-export’ genoemd.

Dit is relevant omdat er in de AVG als uitgangspunt een verbod staat om persoonsgegevens vanuit de Europese Economische Ruimte (EER) door te geven naar landen daarbuiten, als daar geen goed privacybeschermingsniveau is.

“De EER bestaat op dit moment uit de EU landen, Noorwegen, IJsland en Liechtenstein.”

Als het VK na de Brexit bij de EER zou gaan horen dan is er geen probleem. Persoonsgegevens mogen dan gewoon naar het VK worden doorgegeven. Maar op dit moment lijkt het erop dat dit niet zal gebeuren dus is de vraag wat de alternatieven zijn.

Uitzonderingen op data-export verbod

In de AVG staan de nodige uitzonderingen op het data-export verbod.

Adequaat beschermingsniveau in VK

Een uitzondering die het makkelijk zou maken om persoonsgegevens door te geven naar het VK is als de Europese Commissie zou bepalen dat er in het VK een passend beschermingsniveau voor privacy is. De Commissie zou dan een ‘adequaatheidsbeslissing’ afgeven.

Dit is het meest praktische alternatief voor een ‘niet-EER’ Brexit. De kans is aanwezig dat de Europese Commissie dit zal bepalen. Het VK heeft namelijk al aangegeven dat AVG (GDPR) te zullen toepassen en een adequaatheidsbeslissing te willen krijgen. Maar op dit moment is dat nog afwachten.

Modelcontracten Europese Commissie

Als de Europese Commissie dit niet bepaalt, dan moet gekeken worden of er andere uitzonderingen zijn. Eén van die uitzonderingen is het gebruiken van een zogenaamd Modelcontract van de Europese Commissie. Met zo’n contract kan een verantwoordelijke binnen de EER de persoonsgegevens delen met een verantwoordelijke of verwerker buiten de EER.

Andere alternatieven

In de AVG staan verder meerdere uitzonderingen.

Bijvoorbeeld omdat het doorgeven van de persoonsgegevens noodzakelijk is voor het uitvoeren van een overeenkomst met de betrokkene of het vragen van toestemming. Toestemming vragen is alleen niet altijd praktisch, omdat de persoon de toestemming ook altijd weer moet kunnen intrekken. De gegevens kunnen dan dus niet meer naar het VK worden gestuurd zonder een andere uitzondering.

Meer informatie over de uitzonderingen bij data-export? https://www.smithanddoe.com/factsheet-dataexport-3