Home Actueel Archief Dataprotectie en privacy: de juridische implicaties van een ‘Brexit’

Dataprotectie en privacy: de juridische implicaties van een ‘Brexit’

Archief
28-06-16

Donderdag 23 juni 2016 hebben de Britten zich uitgesproken over hun wens: Groot-Brittannië gaat de Europese Unie (EU) verlaten.

Wat is het (verwachte) effect van de aanstaande ‘Brexit’ op databeveiliging? Zijn persoonsgegevens nog veilig in Groot-Brittannië en zo ja, voor hoe lang nog?

De Europese Unie: een veilig gebied voor persoonsgegevens

Alle lidstaten binnen de EU kunnen de bescherming van persoonsgegevens in principe met eigen, nationale wetten regelen. De EU waarborgt een minimumniveau voor de bescherming van persoonsgegevens voor de EU-burger via de Europese richtlijnen. Dat heeft tot gevolg dat persoonsgegevens overal binnen de EU veilig kunnen worden uitgewisseld en opgeslagen. In principe maakt het voor de beveiliging dus niet uit of je kiest voor een server in Nederland, Griekenland, Zweden, Frankrijk of Groot-Brittannië.

Inmiddels is in de EU nieuwe regelgeving van toepassing: de Algemene Verordening Gegevensbescherming (AVG). Vanaf 2018 vervangt de AVG de Europese richtlijnen die thans gelden en zullen alle EU lidstaten de regels van de AVG moeten toepassen.

Als Groot-Brittannië de EU gaat verlaten, komen zij buiten de reikwijdte van de Europese privacy richtlijn en de AVG. In het meest extreme geval wordt Groot-Brittannië dan aangemerkt als derde land, waar persoonsgegevens van EU-burgers onvoldoende beveiligd zijn. Dat zou leiden tot een grote uittrede van alle bedrijven die persoonsgegevens op servers in de UK heeft opgeslagen, zoals we een klein jaar geleden zagen in Amerika (https://www.kadv.nl/nl/blog/801/268/not-so-safe-harbor-hoe-moet-het-nu-met-persoonsgegevens-in-de-vs-na-de-facebook-uitspraak).

Uittredingsprocedure

Groot-Brittannië heeft de EU nog niet officieel verlaten; het referendum heeft juridisch gezien nog geen effect. Eerst zal Groot-Brittannië een formele melding moeten doen bij de Europese Raad van het voornemen zich terug te trekken uit de EU. Vervolgens zal er met de Europese Raad moeten worden onderhandeld over de voorwaarden van uittreding. Pas wanneer de Europese Raad, het Europese Parlement en Groot-Brittannië een akkoord hebben bereikt is het uittreden van Groot-Brittannië officieel. Indien de onderhandelingen langer dan twee jaar duren, is de EU regelgeving automatisch niet meer van toepassing, tenzij de onderhandelingspartijen anders overeenkomen.

In deze periode zal er dus weinig veranderen. Groot-Brittannië zal gebonden blijven aan de Europese wetgeving op het gebied van dataprotectie en alle persoonsgegevens staan vooralsnog dus veilig in Groot-Brittannië.

Groot-Brittannië zal zich in de tussentijd bezig moeten gaan houden met het nemen van maatregelen om te voorkomen dat zij na de twee jaar (of eerder bij een eerder vertrek) voor de EU als een derde land worden aangemerkt, waarin onvoldoende beveiligingsmaatregelen zijn genomen.

Binding Corporate Rules

Een maatregel die een bedrijf in Groot-Brittannië zelf kan nemen, is het hanteren van Binding Corporate Rules (BCR). BCR kunnen worden gezien als een intern privacy beleid voor grote corporates met vestigingen binnen en buiten de EU. Een BCR moet zijn goedgekeurd door een bevoegde privacy toezichthouder in de EU. Voor kleinere bedrijven is het mogelijk om bepalingen uit het Europese modelcontract te hanteren.

Landelijke maatregelen

Groot-Brittannië kan ook op landelijk niveau maatregelen nemen. Daarvoor zal Groot-Brittannië met de EU een verdrag moeten sluiten waarin een minimum niveau van dataprotectie van Groot-Brittannië wordt afgesproken. Dit minimumniveau zal dan vergelijkbaar zijn met de waarborgen die gelden voor EU-lidstaten. Concreet zou dit betekenen dat Groot-Brittannië zich aan de AVG zal moeten gaan houden.

Bij het sluiten van een dergelijk verdrag zijn echter complicaties te verwachten. De afgelopen jaren is Groot-Brittannië als EU-lidstaat betrokken geweest bij de totstandkoming van de AVG en zij hebben daarbij veel fundamentele bezwaren geuit. Het is maar de vraag of Groot-Brittannië alsnog bereid is zichzelf de regels uit de AVG op te leggen, teneinde de handel met de EU niet te frustreren.

Conclusie

Willen zij de handel met de EU in volle gang laten dan zal Groot-Brittannië allerlei maatregelen moeten treffen, teneinde te voorkomen dat Groot-Brittannië als derde land wordt aangemerkt waarin dataprotectie met onvoldoende waarborgen omkleed is. Welke waarborgen precies, zal de toekomst uitwijzen.

Heeft u vragen naar aanleiding van dit artikel, neem dan contact met mij op (tuk@kadv.nl of 023-5125025).

 

Deel dit artikel