Hoe om te gaan met Privacy na Brexit, in 5 stappen
Stel, jouw bedrijf heeft een moeder- of zustermaatschappij in het Verenigd Koninkrijk (‘VK’), of als je zaken doet met een dienstverlener in het VK, dan is nu een goed moment om na te gaan wat de mogelijke gevolgen zijn van Brexit voor de naleving van de privacywetgeving.
Zolang het VK een lidstaat van de Europese Unie is, kunnen alle persoonsgegevens onbeperkt worden doorgegeven vanuit de Europese Unie/Europese Economische Ruimte (‘EU’) naar het VK en andersom. In het geval van een ‘no deal’ Brexit, zal deze situatie veranderen. In dat geval is de doorgifte van persoonsgegevens van de EU naar het VK gebonden aan beperkingen van de Algemene Verordening Gegevensbescherming (AVG). Maar waarom is dat eigenlijk, en wat doe je eraan?
Neem deze 5 stappen om aan de AVG te blijven voldoen na de Brexit:
#1 Blijf kalm
De Britse regering heeft verklaard dat ze de AVG na de Brexit in Britse wetgeving zal ‘opnemen’. De privacywet in het VK zal dus vrijwel identiek zijn aan de AVG. Blijf dus kalm en ga door met je AVG-project, als je er nog niet mee bent gestart (of nog niet klaar bent).
# 2 Check je datastromen
Check je huidige situatie, waar je momenteel persoonsgegevens vanuit de EU naar het VK doorstuurt, of organisaties in het VK toegang hebben tot deze data. Je kunt dit controleren in je verwerkingenregister (in het Engels: ‘record of processing activities’, of ‘ROPA’). Als je nog geen ROPA hebt, begin daar dan mee, want dat is in ieder geval de eerste stap naar AVG-compliance.
#3 Onderteken de EU-Modelclausules
Nadat je de datastromen vanuit de EU naar het VK in kaart hebt gebracht, is het tijd om deze te ‘legaliseren’. De meest gebruikelijke manier is om de ‘standaard contractsbepalingen’ te ondertekenen die door de Europese Commissie zijn gepubliceerd voor doorgifte buiten de EU. Deze zijn de zogeheten ‘EU Modelclausules’ die alle ‘verzenders’ (in de EU) en ‘ontvangers’ partijen (buiten de EU) samen moeten ondertekenen. Deze EU Modelclausules kun je vinden op de website van de Europese Commissie. Deze EU-modelclausules zijn ouder dan de AVG, maar ze kunnen nog steeds worden gebruikt (ze zijn nog niet vernieuwd).
Het doel van de EU-modelclausules is dat de ontvangende partij (buiten de EU) zich contractueel verbindt aan hetzelfde beschermingsniveau als de AVG. Op deze manier belooft de ontvanger zich te houden aan de AVG, zodat het ‘veilig genoeg’ is om de persoonsgegevens buiten de EU door te geven.
Hoewel het nu volstrekt ‘veilig’ is om persoonsgegevens naar het VK door te geven, moet dit na de Brexit alleen nog contractueel worden bevestigd met de EU Modelclausules.
De EU kan eventueel besluiten om een algemene uitzondering (‘adequaatheidsbesluit’) te maken voor de doorgifte naar het VK (zoals voor Japan, sinds 23 januari 2019). Maar dat kan nog vele maanden duren. In de tussentijd zal het nodig blijven om de EU Model-clausules te ondertekenen.
Er is ook goed nieuws: volgens de Britse privacytoezichthouder (ICO) is er geen actie vereist voor doorgifte van persoonsgegevens vanuit het VK naar de EU. De Britse regering wil een formele uitzondering maken hiervoor (‘lokaal adequaatheidsbesluit’). Zodra deze uitzondering van toepassing is, kun je zonder meer persoonsgegevens vanuit het VK naar de EU blijven doorgeven.
#4 Update je privacybeleid
Als je een vestiging in het VK hebt, maar ook in de EU kantoren hebt of zaken doet, dan zul je te maken krijgen met meerdere privacy-autoriteiten, één voor het VK en (minimaal) één voor EU-landen. Na de Brexit zal het ‘One Stop Shop’-principe voor privacy-autoriteiten namelijk niet meer gelden voor bedrijven die in het VK zijn gevestigd. Praktisch gezien betekent dit dat je een contactpersoon moet aanwijzen als vertegenwoordiger in de EU, in geval van privacy-vragen of -onderzoeken. Check je privacybeleid en (interne) procedures en werk deze bij (bijvoorbeeld met de contactgegevens van de nieuwe privacy-contactpersoon).
#5 Communiceer over de nieuwe situatie
Nadat je de EU-Modelclausules hebt ondertekend en je privacybeleid hebt bijgewerkt, is het tijd om iedereen op de hoogte te stellen van de wijzigingen. Dit kan bijvoorbeeld in een nieuwsbrief (per e-mail) of op je website worden gepubliceerd, afhankelijk van hoe je normaal gesproken intern en extern communiceert. Deze communicatie hoort bij de verplichting om volledig transparant te zijn over hoe jouw bedrijf omgaat met persoonsgegevens, binnen en buiten de EU.
Ja, de Brexit zal leiden tot meer administratieve rompslomp voor je privacy-compliance. Nee, er is geen reden voor paniek. Door goed vooruit te plannen en de bovenstaande 5 stappen te nemen, zal jouw privacy-compliance de Brexit goed doorstaan.
Zoals de Britten zeggen: “Just keep calm and carry on (with GDPR compliance)”
Wil je meer weten over hoe je je privacy-compliance op de Brexit kunt voorbereiden? Neem dan contact met mij op.