Brexit en privacy (AVG/GDPR)

Brexit en privacy (AVG/GDPR)

Wat zijn de gevolgen van een eventuele harde brexit op de verwerking van persoonsgegevens door jouw organisatie? Hoe zit dat als er wel een deal is tussen de EU en Groot-Brittannië?

Harde Brexit

Na een harde brexit (no deal) is Groot-Brittannië niet langer onderdeel van de EU en is de AVG (of GDPR) daar dus niet meer van toepassing. Groot-Brittannië wordt dan een derde land.

Concreet zijn er een aantal stappen die iedere organisatie moet nemen om te kijken of een eventuele harde brexit gevolgen heeft:

  • Controleer of jullie (of verwerkers die jullie gebruiken) persoonsgegevens verwerken in Groot-Brittannië of gegevens vanuit Groot-Brittannië ontvangen;
  • Teken voor het verwerken van persoonsgegevens van of naar Groot-Brittannië EU model clauses (Standaard bepalingen voor gegevensbescherming) als extra bijlage bij de (verwerkers)overeenkomst met partijen die gegevens verwerken in Groot-Brittannië of van wie jullie gegevens ontvangen;
  • Check je interne documenten (zoals privay policy) en privacy statement om te bepalen of die aangepast moet worden.

Goed om te weten: Groot-Brittannië heeft aangegeven dat zij de bepalingen uit de AVG (of GDPR) grotendeels ongemoeid zal overnemen in lokale wetgeving en met de EU zal gaan overleggen om een adequaatheidsbesluit te krijgen (net zoals Japan onlangs heeft gekregen).

Bij een deal

Als er wel een deal tussen Groot-Brittannië en de EU komt, dan zal de uittredingsovereenkomst een overgangsperiode van twee jaar kennen. Als gevolg daarvan blijft de AVG (of GDPR) nog tot eind 2020 van kracht in Groot-Brittannië en verandert er niets in de internationale doorgifte van persoonsgegevens van en naar Groot-Brittannië. De kans is groot dat Groot-Brittannië in die periode een adequaatheidsbesluit krijgt en dat persoonsgegevens zonder aanvullende voorwaarden van en naar Groot-Brittannië gestuurd kunnen worden.

Actieplan

Zorg ervoor dat jouw organisatie voor 29 maart 2019 klaar is voor een eventuele harde brexit. Dus zorg ervoor dat alle verwerkingen van en naar Groot-Brittannië in kaart gebracht zijn en EU model clauses met alle partijen die persoonsgegevens verwerken in Groot-Brittannië voor 29 maart 2019 getekend zijn. Ten slotte is het misschien nodig om interne documenten of de privacy statements aan te passen.

Gerelateerde berichten