Brexit-deal: wat is er afgesproken over data?
Op de valreep is hij er dan toch: de Brexit-deal. Op 24 december, als een waar kerstcadeautje, hebben de onderhandelaars een akkoord bereikt over de regels die per 1 januari 2021 zullen gelden tussen de Europese Unie (EU) en van het Verenigd Koninkrijk (VK). Het akkoord bevat regels over onder andere visserij, luchtvaart en wegtransport en sociale zekerheid. Maar wat zegt het akkoord precies over data? En wat verandert er daadwerkelijk?
Update:
Op 28 juni 2021 heeft de Europese Commissie twee adequaatheidsbesluiten voor het Verenigd Koninkrijk (VK) aangenomen (zie scenario 1 hieronder): één voor de doorgifte van persoonsgegevens aan het VK in het kader van de Avg en één in het kader van de richtlijn gegevensbescherming bij rechtshandhaving. Daarmee geeft de Europese Commissie aan dat het VK een passend beschermingsniveau van de verwerking van persoonsgegevens waarborgt (art. 45 Avg). Met organisaties gevestigd in het VK kunnen persoonsgegevens dus gewoon worden uitgewisseld. —
Onderscheid tussen ‘gewone’ data en persoonsgegevens
Het akkoord maakt een onderscheid tussen ‘gewone’ data en persoonsgegevens. Rondom ‘gewone’ data benadrukt het akkoord het belang van ‘cross-border data flows’ voor handel in de digitale economie. Dit gegevensverkeer mag daarom niet worden belemmerd door partijen (dit zijn lidstaten in de EU/EER en het VK). Voor persoonsgegevens benadrukt de Brexit-deal dat hoge eisen rond het recht op gegevensbescherming en het recht op privacy bijdragen aan het vertrouwen in de digitale economie en de ontwikkeling van handel. In het akkoord is opgenomen dat partijen nog wel maatregelen ter bescherming van het recht op gegevensbescherming en privacy mogen behouden en invoeren, mits de bijbehorende voorwaarden zijn ‘geformuleerd in objectieve termen die tussen burgers onderling en op een breed scala aan situaties van toepassing zijn’. Wat de onderhandelaars hier precies mee bedoelen is nog onduidelijk.
Overbruggingsperiode voor doorgifte van gegevens
De belangrijkste afspraak voor persoonsgegevens staat verderop in de Brexit-deal, onder de ‘final provisions’. Hier staat een bepaling over een overbruggingsperiode van maximaal een half jaar. In deze overbruggingsperiode wordt een doorgifte van persoonsgegevens vanuit de EU/EER naar het VK nog niet gezien als een doorgifte naar een derde land (dat valt onder hoofdstuk 5 van de Avg, met de bijbehorende verplichtingen). Wat gebeurt er na de overbruggingsperiode? Zoals het er nu uit ziet, kunnen zich drie scenario’s voordoen:
- 1. Adequaatheidsbesluit
De Europese Commissie (EC) neemt een adequaatheidsbesluit aan. Hiermee geeft de EC aan dat het beschermingsniveau van persoonsgegevens in het VK gelijkwaardig is aan dat van de EU. De EC is al vanaf maart 2020 bezig met het opstellen van een adequaatheidsbesluit. Als het ontwerp-adequaatheidsbesluit klaar is, geeft de European Data Protection Board (EDPB) hier een advies over. Dit advies is niet juridisch bindend, maar kan wel invloed hebben op de volgende stap: de goedkeuring van de lidstaten. Iedere lidstaat moet groen licht geven voor het adequaatheidsbesluit, voordat de EC het adequaatheidsbesluit kan aannemen. Momenteel is het ontwerp-adequaatheidsbesluit nog niet gepubliceerd. Of het advies van de EDPB positief gaat zijn, is nog maar de vraag. Afgelopen zomer heeft de EDPB al haar twijfels geuit over het beschermingsniveau van persoonsgegevens in het VK. Dit heeft alles te maken met de overeenkomst tussen het VK en de VS over het delen van data onder de zogenaamde CLOUD Act. NLdigital heeft, samen met onze Britse zusterorganisatie TechUK – al eerder gewezen op het belang van een adequaatheidsbesluit.
- 2. Nieuwe wet- en regelgeving
Mochten niet alle lidstaten een adequaatheidsbesluit goedkeuren, dan lijkt er nog een kleine opening in de Brexit-deal te zitten. Het VK kan tijdens de overbruggingsperiode een ‘juridisch bindend instrument’ (alle soorten wet- en regelgeving) aannemen voor het doorgeven van persoonsgegevens. Vervolgens kan de EU een overleg met het ‘Partnership Council’ (hierin zitten vertegenwoordigers van de EU en het VK) aanvragen, waarin het betreffende instrument wordt ‘besproken’. Wat het doel is van deze bespreking wordt niet uitgelegd. Mogelijk zou het zo kunnen zijn dat ze bepalen dat het betreffende instrument een vervanging kan zijn voor een adequaatheidsbesluit en dat doorgifte van persoonsgegevens via dat instrument dus mogelijk is na de overbruggingsperiode. Hier is echter niks over verduidelijkt, dus dit blijft momenteel nog even koffiedik kijken.
- 3. Eindigen overbruggingsperiode zonder afspraken – VK is een ‘derde land’
Mocht de overbruggingsperiode eindigen zonder verdere afspraken, dan is halverwege 2021 het VK officieel een ‘derde land’. Dit betekent dat hoofdstuk 5 van de Avg van toepassing is op doorgifte van persoonsgegevens naar het VK, met alle bijbehorende verplichtingen. De verplichtingen rondom doorgifte van persoonsgegevens naar derde landen zijn de afgelopen periode onder een vergrootglas komen te liggen dankzij de Schrems II-zaak. Alhoewel de zaak in eerste instantie gaat over de doorgifte van persoonsgegevens naar de VS, is de uitspraak ook van belang voor doorgifte van persoonsgegevens naar het VK. Het VK heeft namelijk, net als de VS, inlichtingen- en veiligheidsdiensten met vergaande bevoegdheden. Deze zijn opgenomen in de ‘Regulation of Investigatory Powers Act’, ook wel de RIPA. De omvang van deze bevoegdheden en de opgenomen waarborgen hebben invloed op onder andere het beschermingsniveau van persoonsgegevens. En het Hof van Justitie heeft net besloten dat regelingen zoals de RIPA niet te verenigen zijn met het Europees Unierecht.
Het is daarom aan te raden om te verkennen of er een oplossing kan liggen in een overeenstemming tussen staten op gebied van de bevoegdheden en waarborgen op het vlak van inlichtingen- en veiligheidsdiensten. Hier speelt ook de overeenkomst tussen het VK en de US over het delen van data onder de CLOUD Act mee.
De laatste ontwikkelingen in de Schrems II-zaak zijn de concept-Standard Contractual Clauses voor doorgifte van persoonsgegevens, opgesteld door de EC, en de concept aanbevelingen van de EDPB omtrent doorgifte van persoonsgegevens. Op beide documenten heeft NLdigital input geleverd. We hebben er hierbij op aangedrongen dat het van belang is dat er een werkbare situatie blijft bestaan, waarbij er evenwicht is tussen het recht op gegevensbescherming en privacy, een welvarende globale economie en Europese fundamentele rechten en vrijheden.
Wat nu?
Alle EU-lidstaten zijn akkoord gegaan met de Brexit-deal. Het Britse Lagerhuis moet nog instemmen met het akkoord. Op het moment van publiceren lijkt een meerderheid voor de deal te zijn. Het Europees Parlement moet ook nog haar goedkeuring geven. Ook hier is de verwachting is dat het Europees Parlement het akkoord zal ondertekenen. Is dit gebeurd, dan is het wachten op de ontwikkelingen in de overbruggingsperiode. Kortom er is een deal, waarvan de daadwerkelijk effecten met betrekking tot data zich tijdens de overbruggingsperiode kenbaar zullen maken. NLdigital houdt deze ontwikkelingen nauwlettend in de gaten.
Heb je vragen over de gevolgen van de Brexit voor jouw organisatie? Aarzel dan niet om contact op te nemen met onze juristen.
Het laatste nieuws
Handige ‘wie doet wat’ kabinet-Schoof
Reminder! Doe mee: onderzoek opleidingskosten bedrijven
NLdigital reageert op Nederlandse NIS2-implementatiewet
Gezamenlijk persbericht: Omgevingsdiensten en datacenters tekenen gezamenlijke aanpak voor energiebesparing servers
