Deal or no deal-Brexit? That’s the question.


Afgelopen week hebben de gezamenlijke Europese toezichthouders, verenigd in de EDPB, instructies gepubliceerd over de doorgifte van gegevens naar het Verenigd Koninkrijk (VK) onder de Avg ingeval van een no deal-Brexit. Hieruit blijkt dat organisaties die gegevens doorgeven aan het VK, in het geval van een no deal-Brexit, maatregelen moeten gaan nemen om ervoor te zorgen dat doorgifte van persoonsgegevens naar het VK na 30 maart a.s. ook nog voldoet aan de Avg.

Bij een no deal-Brexit zal het VK als ‘derde land’ worden aangemerkt, zodat organisaties alleen met passende waarborgen persoonsgegevens kunnen doorgeven. Aangezien er ‘nog’ geen adequaatheidsbesluit is voor het VK, zullen organisaties in de meeste gevallen gebruik gaan maken van de Standard Contractual Clauses (SCC) of Binding Corporate Rules (BCR) om ervoor te zorgen dat doorgifte na een no deal-Brexit nog steeds kan plaatsvinden.

Wat opvalt is dat zowel de EDPB als de ICO met geen woord rept over artikel 27 Avg.

Organisaties die nu zakendoen met partners in het VK en daarbij persoonsgegevens verwerken, zullen aan de slag moeten om ervoor te zorgen dat zij ook na een eventuele no deal-Brexit hun verwerkingsactiviteiten kunnen voortzetten.

De Britse regering heeft aangegeven dat persoonsgegevens vrijelijk van de VK naar de EER kunnen stromen, ook al is er sprake van een no deal-Brexit. De Engelse toezichthouder, de ICO, heeft op haar website een stappenplan geplaatst voor Britse ondernemingen.

Wat opvalt is dat zowel de EDPB als de ICO met geen woord rept over artikel 27 Avg. Dit artikel verplicht de niet in de EU gevestigde organisaties om een vertegenwoordiger aan te wijzen in de EU als de Avg op grond van het territorialiteitsbeginsel op hen van toepassing is (bijvoorbeeld als zij goederen en/of diensten aanbieden of gedrag van EU-burgers observeren). Deze verplichting geldt voor zowel een verwerkingsverantwoordelijke als voor een verwerker. De vertegenwoordiger treedt op ten behoeve van de verwerkingsverantwoordelijke of de verwerker en kan door de toezichthoudende autoriteit en de betrokkenen worden benaderd over alle zaken die betrekking hebben op aangelegenheden ten aanzien van de Avg. In geval van niet naleving door de verwerkingsverantwoordelijke of de verwerker moet de aangewezen vertegenwoordiger aan handhavingsprocedures worden onderworpen.

Maakt u bijvoorbeeld gebruik van een cloud provider in de VK of heeft u een vestiging in het VK, dan zult u nu uw voorbereidingen moeten treffen om na 29 maart niet voor verrassingen te komen te staan.

Door: Sandra Rolaff Duthler Professionals en Marlous Cramer Duthler Academy

© 2019 Duthler Academy