Nu de Britten de Europese Unie hebben verlaten geldt tot 31 december 2020 een overgangsperiode. Daarin is de Europese privacywetgeving (AVG) gewoon van kracht.

Wat er daarna gebeurt, is onzeker. Het Verenigd Koninkrijk is van plan een Britse versie van de AVG in te voeren, maar daar kan onder invloed van lobbyisten nog aan worden gesleuteld.

Als de Britse privacywetgeving niet meer in lijn is met de Europese zijn Nederlandse bedrijven die samenwerken met Britse ondernemingen in principe in overtreding.

Bedrijven kunnen kiezen voor een leverancier in de EU, het sluiten van modelclausules of wachten op een besluit van de Europese Commissie of het doorsturen van persoonsgegevens mag.

Het heeft een goede 3,5 jaar geduurd, maar op 17 oktober 2019 bereikten de Britten en de Europese Unie (EU) eindelijk een uittredingsakkoord. Op 31 januari 2020, middernacht was het dan zover: de Britten stapten uit de EU en Brexit was een feit.

Het proces kostte het land uitdagende onderhandelingen, twee premiers en vele beslissende dagen. Voor velen leidde dit tot een dag van grote vreugde, terwijl anderen deze historische gebeurtenis eerder zagen als een zwarte bladzijde in de geschiedenis.

Wat staat de Britten namelijk te wachten: zelfstandigheid en onafhankelijkheid, of chaos en onduidelijkheid? En welke gevolgen heeft dit voor de privacy en het (laten) verwerken van persoonsgegevens in het Verenigd Koninkrijk (VK).

Tijdens de overgangsperiode geldt de AVG

De grootste horde lijkt genomen, maar niets is minder waar: een no deal-Brexit is nog steeds mogelijk. Tot en met 31 december 2020 geldt er in ieder geval een overgangsfase. Dat betekent dat tot het eind van dit jaar alle Europese wetten en regels gewoon blijven gelden in het VK.

Voor burgers, maar ook voor bedrijven verandert er vrijwel niks in 2020. Dat betekent niet dat men stil hoeft te zitten. Deze periode is bedoeld ter voorbereiding op de nieuwe afspraken tussen het VK en de EU over hun toekomstige relatie.

Mochten partijen er niet uitkomen, dan kan de overgangsfase eenmalig verlengd worden met twee jaar tot 31 december 2022. Premier Johnson is echter niet van plan daar gebruik van te maken. Komen de afspraken niet rond? Dan volgt alsnog een no deal-Brexit op 1 januari 2021.

Tot en met 31 december 2020 blijven zowel de Algemene verordening gegevensbescherming (AVG) als de Britse uitvoeringswet daarvan – de UK Data Protection Act – dus gewoon gelden in het VK. Voor de huidige verwerkingen van persoonsgegevens dus (nog) geen paniek: hosting in het VK is bijvoorbeeld voor nu geen probleem.

De Information Commissioner’s Office (ICO), de Britse privacytoezichthouder, is hier ook duidelijk over: tot het eind van dit jaar is het ‘business as usual’. Iedere organisatie die persoonsgegevens verwerkt, binnen en buiten het VK, heeft zich aan de AVG te houden.

Zit ik nu dus veilig met mijn Britse (IT-)leverancier?

De ICO heeft als uitgangspunt dat, deal of geen deal, de AVG na de overgangsperiode zal worden geïmplementeerd als de ‘UK GDPR’ (de Engelse term voor de AVG) en dat er hoe dan ook dus praktisch weinig zal veranderen.

Als zo’n UK GDPR er spoedig komt, gaat men ervan uit dat de Europese Commissie zo snel mogelijk een adequaatheidsbesluit zal nemen over het VK. Ter opfrissing van het geheugen: dat betekent dat de Commissie heeft bepaald dat het land een vergelijkbaar beschermingsniveau heeft op het gebied van persoonsgegevens als de EU. Het land wordt hiermee als ‘veilig’ bestempeld om persoonsgegevens naar door te geven.

Landen zonder zo’n stempel zijn ‘derde landen’, waarvoor op een andere manier passende waarborgen dienen te worden getroffen om persoonsgegevens te beschermen. Tot nu toe is dit besluit genomen voor een handjevol landen, waaronder Argentinië, Canada (alleen voor commerciële organisaties), Japan en Nieuw-Zeeland.

Dit klinkt logisch en lijkt meteen de gemakkelijkste en meest praktische oplossing, maar de AVG blijft de strengste privacywetgeving ter wereld. Het is dus zeer aantrekkelijk voor lobbyisten om te proberen hier en daar wat woordjes en komma’s toe te laten voegen en toch aan dat beschermingsniveau af te doen.

Hoe meer er aan de Britse AVG gesleuteld gaat worden, hoe kleiner de kans dat we na de overgangsperiode veilig zitten in het VK. En hoe langer het gaat duren totdat zo’n besluit genomen gaat worden, als het er al van komt.

Zijn 'Standard Contractual Clauses' een oplossing?

In plaats van te wachten of er wel of niet een adequaatheidsbesluit gaat komen, zoekt een aantal organisaties heil in de Standard Contractual Clauses (SCC’s of modelclausules) om de doorgifte naar het VK te dekken. De door de Europese Commissie opgestelde modelclausules dekken ofwel de doorgifte van een Europese verantwoordelijke naar een niet-Europese verantwoordelijke, ofwel de doorgifte van een Europese verantwoordelijke naar een niet-Europese verwerker.

De SCC’s dekken niet alle doorgifte-situaties: wat nou als je als Nederlandse softwareleverancier (lees: verwerker) een Britse hostingpartij (lees: subverwerker) hebt ingeschakeld? Partijen proberen hier nog weleens contractuele oplossingen voor te zoeken, zoals volmachten vanuit de verantwoordelijke, maar praktisch is het niet.

Los daarvan zijn de modelclausules niet alleen oud (respectievelijk uit 2001, 2004 en 2010), ze zijn ook zwaar bekritiseerd door zowel contracterende partijen als toezichthouders. Daarbovenop komt nog dat lang niet alle Britse organisaties bereid zijn om de SCC’s te accepteren.

Verwerkersovereenkomsten zijn sterk gestandaardiseerd

Een ander aandachtspunt is het grote aantal aan reeds gesloten verwerkersovereenkomsten. Het sluiten van zo’n overeenkomst is weliswaar verplicht, maar ze zijn daardoor ook sterk gestandaardiseerd en weinig kritisch uitonderhandeld. Ze bevatten vaak standaardbepalingen als ‘doorgifte naar landen buiten de Europese Economische Ruimte is alleen toegestaan met toestemming van Verwerkingsverantwoordelijke’, of hetzelfde voor het inschakelen of wijzigen van subverwerkers.

Wanneer het VK een derde, juridisch gezien onveilig, land wordt, plaatst dit verwerkers in een lastige situatie: welke verwerkingsverantwoordelijke gaat nog toestemming geven voor subverwerkers in het chaotische en onzekere Brexit-land? En komt die toestemming er dan niet, is het dan kiezen uit twee kwaden: ofwel het contract beëindigen, ofwel alle data verhuizen naar een Europese leverancier?

Het blijft afwachten hoe dit in de praktijk zal gaan uitpakken en hoe organisaties hiermee omgaan.

Wellicht nodeloos om te vermelden, maar een laatste manier om veilig te zitten is om alle betrokkenen toestemming te vragen voor doorgifte naar een derde land. Dit is natuurlijk allerminst efficiënt.

Lastige afweging voor bedrijven

Zowel Europese als Britse organisaties hoeven zich op dit moment nog geen zorgen te maken over hun Britse (sub)leveranciers vanwege de overgangsperiode. Dat betekent niet dat ze stil moeten zitten. We raden aan om de ontwikkelingen rondom de Brexit nauwlettend in de gaten te houden. De kans op een no deal-Brexit is namelijk nog steeds aanwezig en zelfs bij een deal blijft het goed opletten.

Het inschakelen van een (sub)leverancier in het VK is na de overgangsperiode juridisch gezien waarschijnlijk niet helemaal zuiver. Er kan worden gekozen voor verhuizen naar de EU (duur), voor het sluiten van modelclausules, of men wacht een adequaatheidsbesluit van de Commissie af met het risico dat in de tussentijd gegevens worden verwerkt in een land zonder passende waarborgen (lees: overtreding van de AVG).

Wat commercieel gezien de meest wenselijk oplossing is, blijft aan een organisatie zelf.

ICTRecht is een juridisch adviesbureau dat gespecialiseerd is in wet- en regelgeving op het gebied van internet, ICT en privacy. Dit artikel is geschreven door juridisch adviseur Laura Monhemius.