Dankzij een overeenkomst tussen het VK en de EU mogen bedrijven in de eerste vier maanden van 2021 persoonsgegevens doorgeven alsof de AVG nog gewoon van kracht is.
Bas van der Werf
Het einde van de Brexit-transitieperiode is dan toch gekomen. Het vertrek van het Verenigd Koninkrijk (VK) uit de EU is een feit. Een van de gevolgen is dat de Europese AVG niet langer van toepassing is in het Verenigd Koninkrijk. Wat dit allemaal inhoudt en wat jij als zzp’er hierover moet weten? Lex heeft het voor jou uitgezocht.
Wat betekent de Brexit voor de AVG?
De Brexit dat de Europese AVG in het Verenigd Koninkrijk niet meer geldt. In het Verenigd Koninkrijk geldt de GDPR. Inhoudelijk is die nagenoeg gelijk aan de AVG, dus in de praktijk verandert er weinig. Toch is er een belangrijk verschil. GDPR is namelijk nationale wetgeving is, in plaats van internationale wetgeving zoals AVG.
Dit houdt in dat GDPR niet per definitie voldoet aan de eisen van de AVG. Groot-Brittannië kan immers in theorie de GDPR op zo’n manier aanpassen dat de EU het er niet meer mee eens is. Om deze reden zullen er andere afspraken gemaakt moeten worden met betrekking tot de privacywetgeving tussen Groot-Brittannië en de EU.
Wat houdt dat voor mij in?
Als jij als zelfstandig ondernemer geen Britse klanten hebt en niet werkt met leveranciers uit het Verenigd Koninkrijk, dan verandert er voor jou helemaal niets! Je kan dan nu in principe stoppen met lezen, maar wie weet steek je er nog wat van op.
Heb je wel Britse klanten of werk je met leveranciers uit het VK, dan verandert er wel het een en ander. Je kan na de Brexit dan niet meer op de AVG terugvallen. Om te zorgen dat de handel tussen EU-landen en het VK toch mogelijk blijft, hebben de EU en het VK een aantal oplossingen aangedragen. Voor grotere organisaties zijn er Binding Corporate Rules en voor kleinere bedrijven en ondernemers zijn er de Standard Contractual Clauses. Voor overheidsorganen zijn er speciale juridisch bindende afspraken.
Wat heb ik aan een SCC?
Standard Contractual Clauses (SCC’s) zijn in feite modelcontracten met specifieke afspraken over de verwerking en uitwisseling van persoonsgegevens, die zijn goedgekeurd door de Europese Commissie. Een SCC biedt aanvullende, contractuele waarborgen voor gegevensbescherming, als persoonsgegevens vanuit de Economische Europese Ruimte (EER) naar een derde land worden doorgegeven.
Een SCC kun je niet zomaar gebruiken. Eerst moet er moet een risico-assessment worden uitgevoerd om de privacyrisico’s te beoordelen. Naar aanleiding van de uitkomst van het assessment kunnen aanvullende maatregelen noodzakelijk zijn. De European Data Protection Board (EDPB) heeft een richtlijn opgesteld waarin is opgenomen hoe de risico’s van derde landen dienen te worden geïdentificeerd en beoordeeld.
Adequaatheidsbesluit
Doorgifte van persoonsgegevens vanuit Nederland naar een derde land mag in principe alleen als het derde land een passend beschermingsniveau biedt. De Europese Commissie kan een adequaatheidsbesluit nemen als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt. Dat houdt in dat de Europese Commissie vaststelt dat het land een vergelijkbaar gegevensbeschermingsniveau biedt als de AVG. Het VK staat momenteel (nog) niet op deze lijst en de EU heeft al aangegeven dat zo’n besluit pas genomen kan worden als het VK de EU heeft verlaten. Dit proces is nog maar net begonnen, wat betekent dat een adequaatheidsbesluit nog wel even op zich kan laten wachten.
Wel is er in december een overeenkomst gesloten tussen het VK en de EU die inhoudt dat bedrijven in de eerste vier maanden van 2021 persoonsgegevens mogen doorgeven alsof de AVG nog van kracht is. Deze periode zal automatisch verlengd worden tot 30 juni, zolang geen van de partijen bezwaar heeft. Mocht er voor die datum nog geen adequaatheidsbesluit zijn genomen, dan ben je dus aangewezen op bijvoorbeeld SCC’s.
