23 februari 2021

Brexit-deal: wat is er afgesproken over data?

AVG, BREXIT
Brexit en HR

Op de valreep is hij er dan toch: de Brexit-deal. Op 24 december, als een waar kerstcadeautje, hebben de onderhandelaars een akkoord bereikt over de regels die per 1 januari 2021 zullen gelden tussen de Europese Unie (EU) en van het Verenigd Koninkrijk (VK). Het akkoord bevat regels over onder andere visserij, luchtvaart en wegtransport en sociale zekerheid. Maar wat zegt het akkoord precies over data? En wat verandert er daadwerkelijk?

Update:

Op vrijdag 19 februari heeft de Europese Commissie twee ontwerpadequaatheidsbesluiten gepubliceerd (zie scenario 1 hier onder): één voor de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk (VK) in het kader van de Avg en één in het kader van de richtlijn gegevensbescherming bij rechtshandhaving.

Bij de beoordeling van het beschermingsniveau van persoonsgegevens was van belang dat in het VK het EU-recht decennialang bepalend is geweest voor de gegevensbescherming.

Het publiceren van deze ontwerpbesluiten is de eerste stap in het vaststellingsproces. De EDPB moet hier nu een advies over uitbrengen. Vervolgens moet iedere lidstaat akkoord geven, voordat de EC de adequaatheidsbesluiten kan aannemen. Zijn de besluiten aangenomen, dan kan de doorgifte van persoonsgegevens van de EU aan het VK plaatsvinden.

Onderscheid tussen ‘gewone’ data en persoonsgegevens

Het akkoord maakt een onderscheid tussen ‘gewone’ data en persoonsgegevens. Rondom ‘gewone’ data benadrukt het akkoord het belang van ‘cross-border data flows’ voor handel in de digitale economie. Dit gegevensverkeer mag daarom niet worden belemmerd door partijen (dit zijn lidstaten in de EU/EER en het VK).

Voor persoonsgegevens benadrukt de Brexit-deal dat hoge eisen rond het recht op gegevensbescherming en het recht op privacy bijdragen aan het vertrouwen in de digitale economie en de ontwikkeling van handel. In het akkoord is opgenomen dat partijen nog wel maatregelen ter bescherming van het recht op gegevensbescherming en privacy mogen behouden en invoeren, mits de bijbehorende voorwaarden zijn ‘geformuleerd in objectieve termen die tussen burgers onderling en op een breed scala aan situaties van toepassing zijn’. Wat de onderhandelaars hier precies mee bedoelen is nog onduidelijk.

Overbruggingsperiode voor doorgifte van gegevens

De belangrijkste afspraak voor persoonsgegevens staat verderop in de Brexit-deal, onder de ‘final provisions’. Hier staat een bepaling over een overbruggingsperiode van maximaal een half jaar. In deze overbruggingsperiode wordt een doorgifte van persoonsgegevens vanuit de EU/EER naar het VK nog niet gezien als een doorgifte naar een derde land (dat valt onder hoofdstuk 5 van de Avg, met de bijbehorende verplichtingen).

Wat gebeurt er na de overbruggingsperiode? Zoals het er nu uit ziet, kunnen zich drie scenario’s voordoen:

  • 1. Adequaatheidsbesluit

De Europese Commissie (EC) neemt een adequaatheidsbesluit aan. Hiermee geeft de EC aan dat het beschermingsniveau van persoonsgegevens in het VK gelijkwaardig is aan dat van de EU. De EC is al vanaf maart 2020 bezig met het opstellen van een adequaatheidsbesluit. Als het ontwerp-adequaatheidsbesluit klaar is, geeft de European Data Protection Board (EDPB) hier een advies over. Dit advies is niet juridisch bindend, maar kan wel invloed hebben op de volgende stap: de goedkeuring van de lidstaten. Iedere lidstaat moet groen licht geven voor het adequaatheidsbesluit, voordat de EC het adequaatheidsbesluit kan aannemen.

Momenteel is het ontwerp-adequaatheidsbesluit nog niet gepubliceerd. Of het advies van de EDPB positief gaat zijn, is nog maar de vraag. Afgelopen zomer heeft de EDPB al haar twijfels geuit over het beschermingsniveau van persoonsgegevens in het VK. Dit heeft alles te maken met de overeenkomst tussen het VK en de VS over het delen van data onder de zogenaamde CLOUD Act.

Update mei ’21: de EDPB heeft op 13 april 2021 haar advies aan de EC gepubliceerd in reactie op het ontwerp-adequaatheidsbesluit. De EDPB heeft groen licht gegeven, aangezien het gegevensbeschermingskader van het VK grotendeels is gebaseerd op het Europese gegevensbeschermingskader. Toch spreekt de EDPB ook een aantal zorgen uit, waaronder de mogelijke toekomstige ontwikkelingen van het rechtsstelsel in het VK en de mogelijkheid dat persoonsgegevens straks – via het VK – naar andere landen worden doorgegeven, waar persoonsgegevens onvoldoende worden beschermd. De EDPB benadrukt de cruciale rol van de EC bij het toezicht op alle relevante ontwikkelingen in het VK. Het is nog niet bekend wanneer de EC beslist of het adequaatheidsbesluit wordt aangenomen.

NLdigital heeft, samen met onze Britse zusterorganisatie TechUK – al eerder gewezen op het belang van een adequaatheidsbesluit.

  • 2. Nieuwe wet- en regelgeving

Mochten niet alle lidstaten een adequaatheidsbesluit goedkeuren, dan lijkt er nog een kleine opening in de Brexit-deal te zitten. Het VK kan tijdens de overbruggingsperiode een ‘juridisch bindend instrument’ (alle soorten wet- en regelgeving) aannemen voor het doorgeven van persoonsgegevens. Vervolgens kan de EU een overleg met het ‘Partnership Council’ (hierin zitten vertegenwoordigers van de EU en het VK) aanvragen, waarin het betreffende instrument wordt ‘besproken’. Wat het doel is van deze bespreking wordt niet uitgelegd. Mogelijk zou het zo kunnen zijn dat ze bepalen dat het betreffende instrument een vervanging kan zijn voor een adequaatheidsbesluit en dat doorgifte van persoonsgegevens via dat instrument dus mogelijk is na de overbruggingsperiode. Hier is echter niks over verduidelijkt, dus dit blijft momenteel nog even koffiedik kijken.

  • 3. Eindigen overbruggingsperiode zonder afspraken – VK is een ‘derde land’

Mocht de overbruggingsperiode eindigen zonder verdere afspraken, dan is halverwege 2021 het VK officieel een ‘derde land’. Dit betekent dat hoofdstuk 5 van de Avg van toepassing is op doorgifte van persoonsgegevens naar het VK, met alle bijbehorende verplichtingen. De verplichtingen rondom doorgifte van persoonsgegevens naar derde landen zijn de afgelopen periode onder een vergrootglas komen te liggen dankzij de Schrems II-zaak. Alhoewel de zaak in eerste instantie gaat over de doorgifte van persoonsgegevens naar de VS, is de uitspraak ook van belang voor doorgifte van persoonsgegevens naar het VK. Het VK heeft namelijk, net als de VS, inlichtingen- en veiligheidsdiensten met vergaande bevoegdheden. Deze zijn opgenomen in de ‘Regulation of Investigatory Powers Act’, ook wel de RIPA. De omvang van deze bevoegdheden en de opgenomen waarborgen hebben invloed op onder andere het beschermingsniveau van persoonsgegevens. En het Hof van Justitie heeft net besloten dat regelingen zoals de RIPA niet te verenigen zijn met het Europees Unierecht.

Het is daarom aan te raden om te verkennen of er een oplossing kan liggen in een overeenstemming tussen staten op gebied van de bevoegdheden en waarborgen op het vlak van inlichtingen- en veiligheidsdiensten. Hier speelt ook de overeenkomst tussen het VK en de US over het delen van data onder de CLOUD Act mee.

De laatste ontwikkelingen in de Schrems II-zaak zijn de concept-Standard Contractual Clauses voor doorgifte van persoonsgegevens, opgesteld door de EC, en de concept aanbevelingen van de EDPB omtrent doorgifte van persoonsgegevens. Op beide documenten heeft NLdigital input geleverd. We hebben er hierbij op aangedrongen dat het van belang is dat er een werkbare situatie blijft bestaan, waarbij er evenwicht is tussen het recht op gegevensbescherming en privacy, een welvarende globale economie en Europese fundamentele rechten en vrijheden.

Wat nu?

Alle EU-lidstaten zijn akkoord gegaan met de Brexit-deal. Het Britse Lagerhuis moet nog instemmen met het akkoord. Op het moment van publiceren lijkt een meerderheid voor de deal te zijn. Het Europees Parlement moet ook nog haar goedkeuring geven. Ook hier is de verwachting is dat het Europees Parlement het akkoord zal ondertekenen. Is dit gebeurd, dan is het wachten op de ontwikkelingen in de overbruggingsperiode. Kortom er is een deal, waarvan de daadwerkelijk effecten met betrekking tot data zich tijdens de overbruggingsperiode kenbaar zullen maken. NLdigital houdt deze ontwikkelingen nauwlettend in de gaten.

Heb je vragen over de gevolgen van de Brexit voor jouw organisatie? Aarzel dan niet om contact op te nemen met onze juristen.

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd