Brexit en privacy

Het Verenigd Koninkrijk heeft aangekondigd uit de Europese Unie te willen vertrekken. De zogenoemde Brexit zal gevolgen hebben voor dataprotectie en gegevensuitwisseling tussen de landen uit de EU en het Verenigd Koninkrijk. Voor doorgifte van persoonsgegevens en data naar een land binnen de EU gelden andere regels dan voor doorgifte naar een land buiten de EU.

De bescherming van persoonsgegevens en dataprotectie is niet in alle landen op dezelfde wijze geregeld. Zo mag u als organisatie persoonsgegevens vanuit Nederland naar het buitenland doorgeven, alleen als een land voldoende bescherming daarvoor biedt. Zo gelden voor uitwisselen van persoonsgegevens binnen de EU andere regels dan voor doorgifte van data naar landen buiten de EU.

Doorgifte binnen de EU

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming, de AVG. Hierdoor is het niveau van gegevensbescherming binnen de hele EU gelijk. In heel Europa geldt dezelfde privacywet, namelijk de AVG voor dataprotectie en gegevensbescherming. Het Verenigd Koninkrijk maakt op dit moment nog deel uit van de EU en de privacyregels uit de AVG gelden ook voor het privacyregime van het Verenigd Koninkrijk.

Geeft u als Nederlandse organisatie gegevens door naar een partner uit een ander EU-land? Dan hoeft u alleen te voldoen aan de geldende privacyeisen uit de AVG.

Doorgifte persoonsgegevens buiten de EU?

Het wordt echter anders als het Verenigd Koninkrijk geen deel meer zal uitmaken van de EU. Dan wordt het VK mogelijk een derde land, waarvoor aparte regels gelden.

Bij een harde Brexit is het vrijelijk uitwisselen van persoonsgegevens niet meer vanzelfsprekend. Het VK stapt immers uit de EU en wordt daardoor een zogeheten ‘derde land’ waarmee alleen onder voorwaarden persoonsgegevens en data mee mogen worden gedeeld.

Voor wie zijn de gevolgen van Brexit het meest zichtbaar?

De Brexit zal iedereen raken die, bewust of onbewust, zaken doet met partijen uit het VK. Uit onze ervaring merken wij dat de volgende sectoren het hardst geraakt zullen worden:

  • Bouwmaterialen en -onderdelen;
  • Logistiek en transport, waaronder warehousing, opslag, overslag en distributie;
  • Farmaceutische bedrijven, zoals producenten van medicijnen en apothekers;
  • Onderwijs- en onderzoeksinstellingen, zoals hogescholen, universiteiten en particuliere onderwijsinstellingen;
  • Advocatenkantoren met een M&A praktijk.

Verder zullen waarschijnlijk financiële instellingen, vermogensbeheerders en banken de gevolgen van de Brexit ervaren.

Uitwisseling van persoonsgegevens niet meer vanzelfsprekend

Het internationaal uitwisselen van persoonsgegevens tussen partijen uit een EU-lidstaat en het Verenigd Koninkrijk is niet meer vanzelfsprekend.

Verantwoordelijken, degenen die persoonsgegevens verwerken en op grond van de AVG voldoende technische en organisatorische maatregelen moeten treffen, zijn gebonden aan de AVG. Zij moeten ervoor zorgen dat de privacyregels worden nageleefd. Dit geldt ook voor het sluiten van contracten met verwerkers om namens de verantwoordelijke gegevens te verwerken.

Als een verwerker in het Verenigd Koninkrijk wordt gecontracteerd, dan moet de verantwoordelijke ervoor zorgen dat aan de vereisten van de AVG wordt voldaan. Britse verwerkers van data en persoonsgegevens moeten voldoen aan de verplichtingen van de AVG wanneer zij persoonsgegevens van EU-burgers verwerken. Het hosten van de server in het Verenigd Koninkrijk is een voorbeeld hiervan.

Wanneer u contracten heeft met partijen in het Verenigd Koninkrijk, is belangrijk om de contracten te evalueren en waar nodig aan te passen. Dit om te voorkomen dat u persoonsgegevens en data aan de partij uit het Verenigd Koninkrijk verstrekt zonder de privacyregels na te leven.

Doorgifte persoonsgegevens na de Brexit

Na een harde Brexit mag u de persoonsgegevens, ongeacht of u verantwoordelijke bent of verwerker, alleen nog doorgeven naar het VK als u passende waarborgen treft. Deze waarborgen moeten voldoen aan de voorwaarden uit de AVG. Zo mag u persoonsgegevens naar partijen uit het VK blijven doorgeven, als u een specifieke overeenkomst sluit (artikel 46 van de AVG), of als u een beroep kunt doen op een van de uitzonderingen (artikel 49 va de AVG).

Dit is bedoeld om de betrokkenen, de natuurlijke personen wiens persoonsgegevens u verwerkt, te beschermen tegen onrechtmatige gegevensverwerkingen.

Laat u adviseren door ons

Wij kunnen samen met u kijken naar de beste oplossing om blijvend persoonsgegevens uit te mogen wisselen met uw partners in het Verenigd Koninkrijk. Zo kunt u ook na de Brexit zorgeloos blijven ondernemen en weet u waar u aan toe bent.

De overheid verstrekt Brexitvouchers aan ondernemers die zakendoen met partijen uit het Verenigd Koninkrijk en nadelige gevolgen van de Brexit verwachten. Het afgelopen jaar hebben voor diverse klanten Brexit-subsidies bij de Rijksdienst voor Ondernemend Nederland (RVO) aangevraagd en deze ondernemers met succes ondersteund.