Dataopslag in het VK na de Brexit, kan dat?

februari 2021

Onze gemeente heeft delen van haar administratie, waarin ook persoonsgegevens zijn verwerkt, ondergebracht bij een databedrijf dat is gevestigd in het VK. Het databedrijf heeft aangegeven dat het voldoet aan de voorwaarden van de Algemene verordening gegevensbescherming. Kan de gemeente ervan uitgaan dat het verwerken van persoonsgegevens bij het databedrijf in het VK ‘AVG-proof’ blijft, ondanks dat het VK geen EU-lidstaat meer is? Wat is hierover afgesproken in de nieuwe EU-VK handels- en samenwerkingsovereenkomst?

ANTWOORD IN HET KORT

Nee, nu het VK een derde land is geworden kan de gemeente hier niet zonder meer vanuit gaan. Na 1 januari 2021 geldt een tijdelijke overbruggingsperiode van vier maanden, wat inhoudt dat de AVG gedurende deze periode op dezelfde manier van toepassing is voor het VK als voor EU-lidstaten. De Europese Commissie heeft de intentie uitgesproken dat zij tijdens deze overbruggingsperiode een adequaatheidsbesluit zal nemen over het niveau van gegevensbescherming in het VK. Wanneer dit besluit wordt genomen kan doorgifte van persoonsgegevens op dezelfde wijze doorgaan na het aflopen van de overbruggingsperiode. Wanneer dit adequaatheidsbesluit niet wordt genomen voor het aflopen van de overbruggingsperiode is doorgifte na deze periode alleen mogelijk als er passende waarborgen worden getroffen of als er sprake is van een geoorloofde uitzondering.

VERWERKING VAN PERSOONSGEGEVENS volgens de avg

Vanaf 25 mei 2018 dienen onder andere decentrale overheden de Algemene verordening gegevensbescherming (AVG) toe te passen. In de AVG staan persoonsgegevens en de verwerking daarvan centraal. De verwerking van gegevens die geen persoonsgegevens zijn, valt buiten de reikwijdte van de AVG. Verwerking in de context van de AVG is een breed begrip. Onder andere het opslaan van persoonsgegevens wordt als een verwerking gezien. Wanneer de gemeente in haar administratie persoonsgegevens opslaat, zal zij dus moeten voldoen aan de verplichtingen van de AVG.

De AVG heeft een territoriaal toepassingsgebied (art. 3 AVG). Dit betekent dat de verordening van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de gehele EU, ongeacht of de verwerking in de EU plaatsvindt. Wanneer de persoonsgegevens uit de administratie van de gemeente worden verwerkt in een andere EU-lidstaat of derde land zal ook moeten worden voldaan aan de voorwaarden van de AVG om deze persoonsgegevens geoorloofd te verwerken. Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door het European Data Protection Board (EDPB) zijn gepubliceerd.

DE AVG EN HET VK TIJDENS DE OVERbruggingsperiode

Om te voorkomen dat per 1 januari onduidelijkheid zou ontstaan over het niveau van gegevensbescherming hebben de EU en het VK afspraken gemaakt over de samenwerking in de handels- en samenwerkingsovereenkomst. Hierin is vastgesteld dat er vanaf 1 januari 2021 voor vier maanden een tijdelijk regime geldt, dat eventueel met twee maanden kan worden verlengd (artikel FINPROV.10A lid 4). Dit tijdelijk regime moet ervoor zorgen dat de doorgifte van persoonsgegevens tussen de EU en het VK tijdelijk mogelijk blijft. Gedurende deze overbruggingsperiode blijft de AVG op eenzelfde manier van toepassing op het VK als voor EU-lidstaten (artikel FINPROV.10A lid 1). Wanneer persoonsgegevens tijdens deze periode worden verwerkt in het VK, dan zal dit dus onder dezelfde voorwaarden mogelijk blijven als voor de Brexit.

DE AVG EN HET VK NA DE overbruggingsperiode

Doordat het VK uit de EU is getreden zal binnen het kader van de AVG het VK na de overbruggingsperiode worden gezien als een ‘derde land’. Gegevensstromen houden echter niet zomaar op bij de grenzen van de EU. Er moet ook rekening worden gehouden met de AVG wanneer decentrale overheden persoonsgegevens laten verwerken door organisaties buiten de EU.

Dit betekent dat doorgifte van persoonsgegevens aan het VK als derde land alleen onder bepaalde voorwaarden mogelijk is.

A) DOORGIFTE OP BASIS VAN ADEQUAATHEIDSBESLUITEN

Doorgifte van persoonsgegevens aan een derde land is toegestaan wanneer de Commissie in een adequaatheidsbesluit vaststelt dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens biedt (art. 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Indien de Commissie voor het aflopen van de overbruggingsperiode een adequaatheidsbesluit neemt ten aanzien van het VK, dan zijn er geen aanvullende waarborgen nodig voor het verwerken van persoonsgegevens in het VK. De verwerking moet natuurlijk wel voldoen aan de algemene eisen van de AVG en de specifieke eisen van het adequaatheidsbesluit.

B) DOORGIFTE indien er geen adequaatheidsbesluit wordt genomen

Indien de Commissie voor het aflopen van de overbruggingsperiode geen adequaatheidsbesluit heeft genomen ten aanzien van het VK, dan zal de gemeente passende waarborgen moet treffen voor doorgiften en verwerkingen naar het databedrijf. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren. Daarnaast moeten de betrokkenen, waarvan de persoonsgegevens worden verwerkt, over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. In art. 46 AVG worden deze passende waarborgen genoemd, zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften die zijn goedgekeurd door de Autoriteit Persoonsgegevens (AP) (art. 47 AVG).

Daarnaast dient de gemeente inzichtelijk te maken dat persoonsgegevens worden doorgegeven naar een derde land. De gemeente dient dit bijvoorbeeld aan te geven in het register van verwerkingen en de betrokkene hier over te informeren via de privacyverklaring.

Wanneer het niet mogelijk is om met de verwerker in het derde land passende waarborgen te treffen, dan zijn er in specifieke omstandigheden enkele uitzonderingen mogelijk waardoor verwerking van persoonsgegevens in een derde land alsnog geoorloofd is. Alle geoorloofde uitzonderingen zijn opgesteld in art. 49 AVG. Volgens lid 2 van dit artikel is het vereist dat de AP wordt geïnformeerd wanneer er van een dergelijke uitzondering gebruik wordt gemaakt.

AANBEVELINGEN VOOR DOORGIFTE

Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft het EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen worden opgelost.

BREXIT IMPACT SCAN VOOR OVERHEDEN

Benieuwd wat het nieuwe EU-VK partnerschap verder voor uw organisatie betekent? De Brexit Impact Scan voor overheden is geactualiseerd. Met behulp van de impactscan inventariseert u of uw overheidsorganisatie al rekening houdt met de nieuwe afspraken tussen het VK en de EU en de eventuele gevolgen, bijvoorbeeld op het gebied van ICT-diensten. Kijk voor meer informatie ook op het Brexit-loket. Mocht u specifieke vragen hebben over de gevolgen van het nieuwe partnerschap, dan kunt u contact opnemen met onze helpdesk.

DOOR

David Schutrups & Evelien van Buuren, Kenniscentrum Europa decentraal

MEER INFORMATIE

EU-UK Trade and Cooperation Agreement, Europese Commissie
Brexit Impact Scan voor overheden, Kenniscentrum Europa decentraal
Brexit-loket voor decentrale overheden, Kenniscentrum Europa decentraal
De Algemene verordening gegevensbescherming (AVG), Kenniscentrum Europa decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa decentraal