Volg ons op sociale media

Blog over Brexit en privacy

Geplaatst op 30 december 2020 om 14:15

Brexit en Privacy 

Op 31 januari 2020 heeft het Verenigd Koninkrijk de Europese Unie verlaten. Tot en met 31 december 2020 geldt een overgangsperiode, waardoor alle Europese regels en wetten nog geldig zijn binnen het Verenigd Koninkrijk. Wij krijgen regelmatig vragen van organisaties die persoonsgegevens of ontvangen vanuit het Verenigd Koninkrijk of persoonsgegevens verwerken binnen het Verenigd Koninkrijk. Welke consequenties heeft de Brexit op het gebied van privacy? 

Verwerken van persoonsgegevens in derde landen

Met ingang van het nieuwe jaar zal het Verenigd Koninkrijk als derde land in de zin van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) kwalificeren, zij zitten dan immers niet meer in de Europese Unie. In onze eerdere blog informeerden wij u al over de regels voor het verwerken van persoonsgegevens in een derde land. Wij gaven toen aan dat de verwerking van persoonsgegevens buiten de Europese Unie alleen is toegestaan indien de Europese Commissie middels een adequaatheidsbesluit heeft geoordeeld dat een specifiek land buiten de Europese Unie een passend beschermingsniveau biedt. Bij gebrek aan een adequaatheidsbesluit van de Europese Commissie is de verwerking van persoonsgegevens in een land buiten de Europese Unie alleen toegestaan als het desbetreffende land passende waarborgen biedt.

Het Verenigd Koninkrijk heeft aangegeven de AVG grotendeels te willen overnemen in haar eigen nationale wet, genaamd de UK GDPR, in combinatie met de al bestaande Data Protection Act 2018. Het doel hiervan is om een aan de Europese Unie gelijkwaardig beschermingsniveau te creëren zodat de Europese Commissie een adequaatheidsbesluit zal afgeven. Een adequaatheidsbesluit ligt er op dit moment (nog) niet. Het Verenigd Koninkrijk kwalificeert dus vanaf aankomende vrijdag als derde land. Hoe gaat u dan precies om met de verwerking van persoonsgegevens? Er zijn twee situaties denkbaar.

U ontvangt persoonsgegevens vanuit het Verenigd Koninkrijk

Als u persoonsgegevens ontvangt vanuit een organisatie binnen het Verenigd Koninkrijk en u verwerkt deze gegevens in een land binnen de Europese Unie, dan verandert er vanaf 1 januari 2021 nog niets. De Britse toezichthouder (The Information Commisioner’s Office, or ICO) heeft aangegeven dat op basis van de UK GDPR de doorgifte van persoonsgegevens vanuit het Verenigd Koninkrijk aan een land binnen de Europese Economische Ruimte ook aan het einde van de overgangsperiode blijft toegestaan, omdat landen binnen de Europese Economische Ruimte een passend beschermingsniveau bieden[1]. Ze houden dit onder toezicht.  

U geeft persoonsgegevens door aan het Verenigd Koninkrijk 

Bij gebrek aan een adequaatheidsbesluit, zult u de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk moeten baseren op een van de doorgifte-instrumenten uit artikel 46 van de AVG. De opvatting is op dit moment dat organisaties die persoonsgegevens doorgeven aan het Verenigd Koninkrijk, vanaf 1 januari 2021 deze doorgifte mogelijk kunnen baseren op het doorgifte-instrument Standard Contractual Clauses. Dit wegens het feit dat het Verenigd Koninkrijk door de implementatie van de AVG in haar eigen wetgeving geacht wordt een passend beschermingsniveau te gaan bieden. 

Tot slot

Het is afwachten of de Europese Commissie tijdig een adequaatheidsbesluit afgeeft voor het Verenigd Koninkrijk. Zo niet, dan doet u er goed aan om een doorgifte-instrument uit artikel 46 te gebruiken indien u persoonsgegevens doorgeeft aan het Verenigd Koninkrijk. 

Mocht het ICO of de Europese Commissie meer informatie publiceren, dan proberen wij u tijdig te informeren.



Meer nieuws & blogs, december 2020

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73