Nieuws

Een no-deal Brexit en de privacy-wetgeving

Vandaag wordt door het Lagerhuis gestemd over een uitstel van de Britse uittreding. De parlementariërs spreken zich dan ook uit over de vraag of er een tweede Brexit-referendum moet komen. Als wordt gekozen voor uitstel, dan moeten de leiders van de overige 27 EU-lidstaten daar toestemming voor geven. Wordt er door alle partijen voor uitstel gestemd, dan zal dit naar verwachting een uitstel van korte duur zijn. Immers, in mei 2019 vinden Europese verkiezingen plaats in alle lidstaten van de Europese Unie. Het is bijna niet voor te stellen dat deze dan ook in het Verenigd Koninkrijk plaatsvinden. Hoe dan ook treedt het Verenigd Koninkrijk dus op korte termijn uit de Europese Unie. Wat dit voor organisaties betekent is grotendeels nog onduidelijk.

Van champagne hamsteren tot de AVG: de Brexit is een tricky business!

De Brexit leidt tot chaos. Zelfs zo dat champagnehuizen flinke voorraden aanleggen in het Verenigd Koninkrijk, omdat ze vrezen dat de levering van champagne na 29 maart in gevaar komt. Eind maart zal de voorraad mogelijk gegroeid zijn tot zo’n vijftien miljoen flessen. Je zou er maar om verlegen zitten. Ook in de Nederlandse havens is het chaos. Omdat veel bedrijven vooruit werken, is er nu al sprake van topdrukte en overboekte ferry’s. Nederland piept en kraakt onder de Brexit heisa en voor de AVG is dit niet anders. Een ding is zeker, of het nu een deal of no-deal-Brexit wordt, het Verenigd Koninkrijk wordt een ‘derde land’ en dat betekent nogal wat met betrekking tot de AVG.

Stephanie Billar, privacy jurist en legal council bij ilionx, legt uit wat er gaat veranderen en welke koe organisaties bij de welbekende horens moeten vatten.

Wat betekent de Brexit voor de Algemene Verordening Gegevensbescherming?

“Vanaf 25 mei 2018 moeten alle Europese organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Met buiten de EU gevestigde leveranciers hebben Nederlandse organisaties andere overeenkomsten gesloten om de veiligheid van gegevens te waarborgen. Nu het Verenigd Koninkrijk de EU verlaat en dus ook ‘een derde land’ wordt, zijn er nieuwe overeenkomsten nodig. Worden deze overeenkomsten niet gesloten, dan kunnen organisaties de privacy van hun klanten niet meer garanderen. Met mogelijk imagoschade en boetes tot gevolg.”

Wat kunnen organisaties doen om toch op tijd te anticiperen op het vervallen van de AVG voor het Verenigd Koninkrijk?

“Organisaties die data doorgeven aan het Verenigd Koninkrijk kunnen vijf stappen doorlopen om op tijd voorbereid zijn voor de Brexit. Stap één is het vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het Verenigd Koninkrijk worden verstrekt. Met welke leveranciers werkt jouw organisatie samen? Wat doen die leveranciers precies met welke gegevens? Het is een heel karwei om dit uit te zoeken, dus het is zaak hier zo snel mogelijk mee te beginnen. De volgende stap is het opstellen van nieuwe privacy overeenkomsten met je partners in het Verenigd Koninkrijk. De derde stap is dat je ervoor zorgt dat die overeenkomsten op 30 maart ondertekend zijn en klaar zijn voor gebruik. Vervolgens zorg je ervoor dat er in interne documenten wordt aangegeven dat er persoonsgegevens aan het Verenigd Koninkrijk worden verstrekt. De laatste en vijfde stap is het aanpassen van de privacyverklaring voor jouw klanten, zodat zij op de hoogste zijn van de nieuwe situatie.”

Je geeft aan dat de tweede stap het opstellen van een nieuwe overeenkomst is. Hoe ziet zo’n overeenkomst eruit?

“Er is een aantal mogelijkheden geschetst door het European Data Protection Board (EDPB). Als eerste noemen zij ‘standaard- of ad-hocbepalingen voor gegevensbescherming’, de tweede oplossing die zij opperen is ‘bindende bedrijfsvoorschriften’ en tot slot het opstellen van ‘gedragscodes of certificeringsmechanismen’. De laatste twee opties zijn praktisch niet haalbaar in het korte tijdsbestek van twee weken tot de Brexit. Er gaat namelijk een hele procedure aan vooraf. Ik raad daarom aan om voor de eerste optie te kiezen, de standaard- of ad-hocbepalingen, ook wel de EU model class overeenkomst genoemd. Deze is snel te realiseren.”

Ok, dus voor 30 maart moeten Nederlandse organisaties met al hun Britse leveranciers die data verwerken een EU model clause overeenkomst sluiten. Waar te beginnen?

“Stel je werkt als data controller bij een financiële instelling. Je hebt een samenwerking met een leverancier in het Verenigd Koninkrijk die persoonsgegevens voor jou verwerkt en je wil met die leverancier een EU model clause overeenkomst sluiten. Je kunt dan te rade gaan op de website van het EDPB, waar zij verschillende EU model clause overeenkomsten beschikbaar hebben die je zo kunt downloaden. Maar pas op! Uit deze overeenkomsten mogen geen onderdelen verwijderd of aangepast worden. Wel mogen er bepalingen aan de overeenkomst worden toegevoegd die voor jouw organisatie belangrijk zijn. Zo kun je specifiek aangeven welke security maatregelen er genomen moeten worden en welke technische en organisatorische voorzieningen je verwacht van de leverancier.”

Waar lopen organisaties tegenaan in dit proces?

“Dat zijn een paar dingen. Ten eerste is de AVG nog niet zo heel lang van kracht en veel organisaties zijn nog steeds bezig met implementeren. Britse waakhond ICO heeft een onderzoek laten uitvoeren waaruit blijkt dat veel organisaties nog niet compliant zijn. De AVG aanpassen aan de Brexit is voor dergelijke organisaties een zware dobber, omdat zij nog in de fase zitten van het voldoen aan de AVG. Als ze bijvoorbeeld niet al hun leveranciers in kaart hebben gebracht is het niet mogelijk om een overzicht te maken van welke leveranciers in het VK zitten en welke gegevens verwerkt worden. De tweede bottle neck is dat organisaties over het algemeen geen experts in dienst hebben op het gebied van AVG. Volgens de AVG is een Functionaris voor Gegevensbescherming (FG) verplicht, maar deze FG’s zijn vaak niet in vaste dienst en houden toezicht over meerdere organisaties. Hun rol bestaat voornamelijk uit monitoren, niet uit het opstellen van overeenkomsten. Aangezien veel bedrijven geen vaste security en privacy professionals in dienst hebben, bestaat de kans dat er te laat ingespeeld wordt op de veranderingen door de Brexit. Met alle gevolgen van dien. Schakel dus snel een partner met verstand van zaken in om imagoschade of een boete te voorkomen.”

Wat is je belangrijkste tip voor organisaties die worstelen met dit probleem?

“Veel organisaties zien door de bomen het bos niet meer. Door de Brexit worden logistiek, planning, financiën en samenwerkingsverbanden overhoop gegooid en dan moet ook nog eens alles juridisch kloppen. Daarnaast is de AVG nog niet overal helemaal geïmplementeerd. Feit blijft dat je in de problemen kunt komen als je niet aan de wet voldoet. Kortom, maak het een prioriteit en reserveer er tijd en de juiste resources voor. Het zijn nog maar twee weken en die zijn zo voorbij!”

Meer weten? Neem contact op met Stephanie Billar via sbillar@ilionx.com tel:  +316 26 30 60 81 en fvandieren@ilionx.com tel: +316 24 34 93 39.

Relevante content

Ilionx logo