Op 29 maart 2019 verwierp het Britse parlement voor de derde keer het uittredingsakkoord dat is opgesteld door de Britse regering en de Europese Unie (de EU). Dit akkoord bevat de belangrijkste uitgangspunten voor het vertrek van het Verenigd Koninkrijk uit de EU. Ook voorziet het akkoord in een overgangsperiode. Doordat het akkoord wederom door het Britste parlement is verworpen, blijft de huidige onzekerheid voortbestaan. De Britse regering heeft nu tot 31 oktober 2019 de tijd om een nieuw uittredingsakkoord uit te onderhandelen met de EU en dit akkoord vervolgens door het Britse parlement te loodsen. Lukt dit niet, dan zal het Verenigd Koninkrijk de EU in een worst case scenario zonder akkoord moeten verlaten.
Een “no-deal Brexit” heeft een enorme impact en zal ook consequenties hebben op het gebied van privacy. Operationeel verandert er niet veel: IT-systemen zullen normaal blijven functioneren. Angsten voor “millenniumbug”-achtige omstandigheden zijn daarom ongegrond. Wel zullen veel organisaties ineens niet langer compliant zijn met de huidige Europese privacy regels, hetgeen kan leiden tot aanzienlijke boetes (van maximaal € 20.000 of 4% van de jaarlijkse wereldwijde omzet).
Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (de AVG) in werking in alle EU-lidstaten, waaronder het Verenigd Koninkrijk. Op grond van de AVG mogen persoonsgegevens niet worden “geëxporteerd” naar landen buiten de Europese Economische Ruimte (hierna EER) zonder dat aan aanvullende voorwaarden wordt voldaan. Deze voorwaarden gelden niet voor gegevensuitwisselingen met landen waarvan de Europese Commissie heeft bepaald dat er een adequate privacy bescherming is (via een zgn. “adequacy decision”). Exporteren is een breed begrip. Op het moment dat personen buiten de EER toegang hebben tot systemen in de EER is sprake van export (ook als de informatie binnen dezelfde organisatie of groep toegankelijk wordt gemaakt).
Indien het Verenigd Koninkrijk de EU in oktober zonder deal moet verlaten en door de Europese Commissie (nog) geen adequacy decision is gegeven, dan kunnen Europese bedrijven hun IT-systemen niet langer delen met hun vestigingen, groepsmaatschappijen, klanten, of (IT) toeleveranciers in het Verenigd Koninkrijk zonder dat daartoe aanvullende maatregelen worden getroffen.
De meest snelle en efficiënte maatregel die bedrijven kunnen nemen is het sluiten van standaard-overeenkomsten met alle partijen gevestigd in het Verenigd Koninkrijk waar persoonsgegevens mee worden gedeeld. In deze overeenkomsten moet worden aangegeven welke informatie wordt gedeeld en voor welke doeleinden. Bij het opstellen van de overeenkomsten dienen organisaties gebruik te maken van modelovereenkomsten, de zogenaamde “standard contractual clauses” (ook: “model clauses”) die zijn opgesteld door de Europese Commissie. Het opstellen en ondertekenen van de overeenkomsten zal, met name intra-groep, relatief snel geregeld kunnen worden. Dit geldt met name voor organisaties die dergelijke overeenkomsten reeds gebruiken voor het delen van persoonsgegevens met entiteiten buiten Europa. Wij raden bedrijven aan dit nu te regelen (voor zover dit nog niet is gebeurd).
Indien het Verenigd Koninkrijk en de EU wel tijdig overeenstemming bereiken, dan is dit probleem waarschijnlijk niet aan de orde. De overgangsperiode die is voorzien in het huidige conceptakkoord zal naar verwachting tot eind december 2020 duren. Tijdens deze overgangsperiode zal de AVG onverkort gelden in het Verenigd Koninkrijk en heeft de Europese Commissie de tijd om een adequacy decision te nemen, zodat ook na de transitieperiode geen aanvullende maatregelen vereist zullen zijn. Het is vrij aannemelijk dat zo’n besluit op relatief korte termijn genomen zal worden.
Hoewel wij niet verwachten dat nationale toezichthouders in geval van een no-deal Brexit onmiddellijk proactief zullen gaan handhaven, raden wij toch aan om nu maatregelen te treffen. In geval er om welke reden dan ook toch gecontroleerd wordt (bijvoorbeeld omdat door klanten of (oud) werknemers is geklaagd), dan kunnen toezichthouders niets anders dan concluderen dat de regels niet zijn nageleefd. De administratieve moeite die het kost om dit tijdig te regelen weegt dan ook niet op tegen de risico’s van niet-naleving.
