Brexit en de bescherming van persoonsgegevens: Europese Commissie neemt twee adequaatheidsbesluiten aan

Persoonsgegevens kunnen vrij tussen de EU en het VK worden doorgegeven. Dat heeft de Europese Commissie besloten in twee adequaatheidsbesluiten betreffende het VK. De Commissie zegt dat het beschermingsniveau van persoonsgegevens in het VK gelijk is aan het niveau dat door EU-wetgeving wordt gehanteerd.

Verwerking van persoonsgegevens in het VK

Door de Brexit is het Verenigd Koninkrijk (VK) sinds 1 januari 2021 een ‘derde land’ (een land buiten de EU). Dit betekent dat de Europese regels inzake de bescherming van persoonsgegevens niet langer gelden in het VK. Er is op 24 december 2020 een akkoord bereikt tussen de EU en het VK over hun toekomstige handelsrelatie. Deze handels- en samenwerkingsovereenkomst wordt vanaf 1 januari 2021 voorlopig toegepast en is 1 mei 2021 definitief in werking getreden. In deze overeenkomst hebben de EU en het VK een overbruggingsregeling afgesproken om te voorkomen dat per 1 januari 2021 onduidelijkheid zou bestaan over het niveau van gegevensbescherming. Deze overbruggingsperiode is afgelopen op 30 juni 2021.

Adequaatheidsbesluiten

De Commissie heeft op 28 juni 2021 twee adequaatheidsbesluiten aangenomen voor het VK. Met een adequaatheidsbesluit geeft de Commissie aan dat een derde land een passend beschermingsniveau van persoonsgegevens waarborgt. Dit is nu ook het geval voor het VK. Het gaat hierbij om een besluit in het kader van artikel 45 van de Algemene Verordening Gegevensbescherming (AVG) en een besluit in het kader van de Rechtshandhavingsrichtlijn. De besluiten zorgen ervoor dat bedrijven en organisaties persoonsgegevens van de EU naar het VK mogen blijven doorgeven. Er zijn dan geen aanvullende waarborgen nodig. De verwerking van persoonsgegevens moet wel blijven voldoen aan de algemene eisen van de AVG en de specifieke eisen van het adequaatheidsbesluit.

Belangrijkste elementen uit de twee adequaatheidsbesluiten

Er is afgesproken dat het gegevensbeschermingssysteem van het VK gebaseerd blijft op dezelfde regels die van toepassing waren toen het VK nog een EU-lidstaat was. Daarnaast moet een overheidsinstantie in het VK voorafgaand toestemming vragen aan een onafhankelijke rechterlijke instantie voordat het toegang krijgt tot EU-persoonsgegevens om redenen van nationale veiligheid. Verder bevatten de adequaatheidsbesluiten een zogenaamde ‘sunset-clausule’, die de duur van de adequaatheid beperkt tot vier jaar. Daarna komen de besluiten automatisch te vervallen. Na die vier jaar kunnen de adequaatheidsbesluiten worden verlengd, maar mocht het VK tussentijds de databeschermingsregels veranderen kan de Commissie zich nog bedenken. Als laatste is de doorgifte van persoonsgegevens met het oog op het immigratiebeleid in het VK uitgesloten van het AVG-adequaatheidsbesluit.

De goedkeuring van de adequaatheidsbesluiten op 28 juni 2021 was de laatste stap in de procedure. De twee adequaatheidsbesluiten treden direct in werking.

Brexit Impact Scan voor Overheden

Benieuwd wat het nieuwe EU-VK partnerschap verder voor uw organisatie betekent? De Brexit Impact Scan voor overheden is geactualiseerd. Met behulp van de impactscan inventariseert u of uw overheidsorganisatie al rekening houdt met de nieuwe afspraken tussen het VK en de EU en de eventuele gevolgen, bijvoorbeeld op het gebied van ICT-diensten. Kijk voor meer informatie ook op het Brexit-loket.

Door:

Lisa Scheffers & David Schutrups, Kenniscentrum Europa decentraal

Bron:

Data protection: Commission adopts adequacy decisions for the UK, Europese Commissie

Meer informatie:

EU-UK Trade and Cooperation Agreement, Europese Commissie
Dataopslag in het VK na de Brexit, kan dat?, Kenniscentrum Europa decentraal
Brexit Impact Scan voor overheden, Kenniscentrum Europa decentraal
Brexit-loket voor decentrale overheden, Kenniscentrum Europa decentraal
De Algemene verordening gegevensbescherming (AVG), Kenniscentrum Europa decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa decentraal