Mag mijn leverancier persoonsgegevens verwerken in het Verenigd Koninkrijk na de Brexit?
Nu het Verenigd Koninkrijk niet langer tot de Europese Unie behoort, kwalificeert dit land als een ‘derde’ land onder de AVG. Eind 2020 schreef ik al dat indien uw organisatie na de Brexit persoonsgegevens verwerkt of laat verwerken in het Verenigd Koninkrijk, het nog onduidelijk was of, en zo ja welke, maatregelen uw organisatie moet nemen. Afgelopen 28 juni 2021 heeft de Europese Commissie duidelijkheid verschaft door middel van een adequaatheidsbesluit. Lees hierna wat het adequaatheidsbesluit precies betekent.
Adequaat beschermingsniveau
Voor de doorgifte van persoonsgegevens naar een derde land (een land buiten de Europese Economische Ruimte (EER)) moet een organisatie passende maatregelen nemen zodat een ‘adequaat beschermingsniveau’ gegarandeerd wordt voor de verwerking van persoonsgegevens. Met andere woorden, ook persoonsgegevens die in een derde land worden verwerkt moeten een soortgelijke bescherming krijgen zoals in de EU (en zoals vastgelegd in de AVG).
Het adequaatheidsbesluit
In een aantal gevallen is het niet noodzakelijk om maatregelen te nemen om dat adequate beschermingsniveau te garanderen. Dat is bijvoorbeeld het geval wanneer de Europese Commissie een adequaatheidsbesluit heeft genomen (art. 45 AVG). Met een dergelijk adequaatheidsbesluit stelt de Europese Commissie in feite vast dat de bescherming van persoonsgegevens in dat derde land op een gelijkwaardig niveau is als in de EU.
“The adequacy standard therefore does not require a point-to-point replication of Union rules. Rather, the test lies in whether, through the substance of data protection rights and their effective implementation, supervision and enforcement, the foreign system as a whole delivers the required level of protection” (EC adequaatheidsbesluit)
Het adequaatheidsbesluit voor het Verenigd Koninkrijk
Het Verenigd Koninkrijk heeft bij uittreding uit de EU veel Europese regelgeving direct overgenomen in het nationaal recht. Daaronder valt ook de AVG. De Britse regering heeft de macht verkregen om die Europese wetten aan te passen via het nationale recht. Alhoewel reeds gebruik is gemaakt van die macht, heeft de Europese Commissie beoordeeld dat de nationale wetgeving voor de verwerking van persoonsgegevens in het Verenigd Koninkrijk nog in grote mate overeenkomt met de AVG. Er is dus op dit moment sprake van een adequaat beschermingsniveau.
Na de transitieperiode kan het Verenigd Koninkrijk mogelijkerwijs haar wetgeving aanpassen. Omdat de EC dit kennelijk aannemelijk acht, is het adequaatheidsbesluit in de eerste instantie geldig voor vier jaar. Na die vier jaar kan de beslissing vernieuwd worden, maar dat zal afhangen van het dan geldende beschermingsniveau.
Dus u hoeft niets te doen?
In feite hoeft u nu geen (aanvullende) maatregelen te nemen indien u persoonsgegevens verwerkt in het Verenigd Koninkrijk of van plan bent dit op korte termijn te gaan doen. Let u wel nog even op dat uw organisatie een eventuele verwerking in het Verenigd Koninkrijk wel vermeldt in de privacyverklaring, het verwerkingsregister en een eventuele verwerkersovereenkomst?
Heeft u vragen over het verwerken van persoonsgegevens in derde landen? Neem contact op met Emiel de Joode.