Mogelijke scenario’s Brexit

1. Geen EU-lid, maar wel EU-recht

Wanneer het Verenigd Koninkrijk (VK) in de toekomst het EU-recht blijft toepassen en dus de bevoegdheid van het Europese Hof van Justitie aanvaardt, blijft de AVG van toepassing binnen het VK.
Maatregelen: wanneer dit scenario zich voordoet, dan verandert er niets ten opzichte van wat nu geldt voor gegevensverwerkingen.

2. ‘No deal' Brexit

In geval het VK geen overeenkomst met de EU heeft gesloten en het Europese Hof van Justitie niet accepteert, dan kan het toch zijn dat de AVG nog steeds van toepassing is. Dit betreft als in het VK persoonsgegevens worden verwerkt van een verwerkingsverantwoordelijke die gevestigd is in de EU. Daarbij moet rekening worden gehouden met een apart kader in de AVG over de verwerking van persoonsgegevens buiten de EU (doorgifte). De AVG noemt deze kaders als volgt:

  • Adequaatheidsbeslissing

Als het VK het EU-recht in de toekomst niet toepast, kan de Europese Commissie een adequaatheidsbeslissing nemen. Dat kan alleen als het VK een passend beschermingsniveau van de verwerking van persoonsgegevens waarborgt. Met een adequaatheidsbeslissing is geen toestemming nodig voor de verwerking van persoonsgegevens in het VK als de verwerkende partij voldoet aan de bepalingen van de AVG. Zo’n adequaatheidsbeslissing geldt nu ook al voor bijvoorbeeld Noorwegen.
Maatregelen: wanneer dit scenario zich voordoet, dan zijn de gevolgen voor gegevensverwerking t.o.v. wat nu geldt nihil. Echter: de Europese Commissie heeft aangegeven, geen adequaatheidsbesluit te kunnen nemen, zolang het VK nog lid is van de EU. Het adequaatheidsbesluit kan pas genomen worden na de uittreding en het proces hiertoe kan tot negen maanden duren. Tot die tijd moet de zorgaanbieder zelf extra maatregelen nemen en zorgen voor ‘passende waarborgen’.

  • Passende waarborgen

Bij afwezigheid van een adequaatheidsbesluit van de Commissie, mogen persoonsgegevens alleen naar een derde land worden doorgegeven als 1) de verwerkingsverantwoordelijke of de verwerker passende waarborgen biedt en 2) betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (art. 46 AVG). Zie 'passende waarborgen’ voor een nadere toelichting.

3. Incidentele verwerking 

Als voorgaande niet mogelijk is, dan zijn er in specifieke omstandigheden nog mogelijkheden te vinden in artikel 49 AVG. Dan kan een doorgifte bijvoorbeeld op basis van uitdrukkelijke toestemming of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang. Echter, artikel 49 bepaalt dat het gebruik van deze mogelijkheden niet repetitief mag zijn en er zijn verschillende voorwaarden aan verbonden. Dus dit is niet bedoeld voor structurele verwerkingen. Ook dient de Autoriteit Persoonsgegevens van een dergelijke doorgifte op de hoogte te worden gesteld.

                                                                                                                                  

Zie hier voor de informatie die de Autoriteit Persoonsgegevens over dit onderwerp verstrekt.

                                                                                        

Disclaimer:

Op dit moment is het nog niet zeker of het voorlopige akkoord tussen de EU en het Verenigd Koninkrijk, door het Europees Parlement en het Britse Parlement zal worden bekrachtigd. Daarom is het nog niet mogelijk vragen over dit onderwerp met zekerheid te beantwoorden.

De Europese privacytoezichthouders, verzameld in de European Data Protection Board (EDPB), hebben meer duidelijkheid gegeven over de juiste naleving van de privacyregels bij een vertrek van het Verenigd Koninkrijk (VK) uit de Europese Unie. Klik hier voor meer informatie.

Daarnaast biedt de ICO - Information Commisioner's Office (de Engelse DPA) richtlijnen en hulpmiddelen voor organisaties voor na de Brexit. Deze vind je hier.