Dataopslag in het Verenigd Koninkrijk, hoe zit dat met de AVG na de Brexit?

maart 2018

Onze gemeente heeft delen van haar administratie, waarin ook persoonsgegevens zijn verwerkt, ondergebracht bij een databedrijf dat is gevestigd in het VK. Het databedrijf geeft aan dat het per 25 mei 2018 zal voldoen aan de voorwaarden van de Algemene Verordening Gegevensbescherming (AVG). Ook heeft het bedrijf de intentie om aan de AVG te blijven te voldoen na 29 maart 2019, de waarschijnlijke Brexit-datum. Kan de gemeente er vanuit blijven gaan dat het verwerken van persoonsgegevens bij het databedrijf in het VK ‘AVG-proof’ zal blijven ondanks de Brexit?

Antwoord in het kort:

Nee, de gemeente kan hier niet zonder meer vanuit gaan. Het is waarschijnlijk dat het VK na de Brexit het Europese Hof van Justitie niet aanvaardt. Dit betekent dat het VK wordt gezien als derde land binnen het wettelijke kader van de AVG. Persoonsgegevens mogen dan alleen geoorloofd worden verwerkt in het VK, mits de Europese Commissie (EC) een zogenaamde adequaatheidsbeslissing neemt of dat de verwerker in het VK toeziet op passende waarborgen.

Verwerking van persoonsgegevens buiten Nederland maar binnen de EU

Vanaf 25 mei 2018 dienen onder andere decentrale overheden de Algemene verordening gegevensbescherming (AVG) toe te passen. De AVG is sinds 2016 in werking en vervangt de Europese richtlijn bescherming persoonsgegevens (85/46/EG). In de AVG staan persoonsgegevens en de verwerking daarvan centraal. De verwerking van gegevens die geen persoonsgegevens zijn valt dus buiten de reikwijdte van de AVG. Verwerking in de context van de AVG is een breed begrip. Onder andere het opslaan van persoonsgegevens wordt als een verwerking gezien. Wanneer de gemeente in haar administratie persoonsgegevens opslaat zal zij dus moeten voldoen aan de verplichtingen die uit de AVG volgen.

Territoriale werking AVG

De AVG heeft een territoriaal toepassingsgebied (art. 3 AVG), wat betekent dat de verordening van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de gehele EU. De Europese wetgever heeft gekozen voor een verordening, zodat de afgesproken regels rechtstreeks toepasbaar zijn in alle EU-lidstaten. Dit betekent ook dat de regels voor de bescherming van persoonsgegevens gelijkgetrokken zijn tussen de lidstaten van de EU. Wel kunnen er verschillen zijn tussen lidstaten door de nadere invulling van lidstaten op specifieke onderdelen van de AVG die niet door de verordening zijn ingevuld. Deze nadere invulling word geregeld aan de hand van AVG-uitvoeringswetten die wél per lidstaat kunnen verschillen.

Wanneer de persoonsgegevens uit de administratie van de gemeente worden verwerkt in een andere EU-lidstaat  zal ook moeten worden voldaan aan de voorwaarden van de AVG om geoorloofd deze persoonsgegevens te verwerken. Zolang het VK nog een lidstaat van de EU is, wat het geval is wanneer de AVG van toepassing is op 25 mei 2018, is het geoorloofd dat de persoonsgegevens in het VK worden verwerkt mits wordt voldaan aan de voorwaarden van de AVG. Meer informatie over wanneer een verwerking van persoonsgegevens rechtmatig is volgens de AVG leest u op deze webpagina.

Het vertrek van het VK uit de EU

Op 29 maart 2017 heeft het Verenigd Koninkrijk (VK) officieel aan de Europese Raad laten weten dat zij de EU gaat verlaten. De procedure van uittreding uit de EU is vastgelegd in art. 50 VEU. Daarin is bepaald dat het VK en de EU twee jaar de tijd hebben om tot een  uittredingovereenkomst te komen, voordat de Europese Verdragen officieel niet meer van toepassing zijn op het VK. Dit houdt in dat de onderhandelingen over het vertrek moeten zijn afgerond voor 29 maart 2019 en dat vanaf die datum het VK geen EU-lidstaat meer is. Het is dus zeer waarschijnlijk dat het VK vanaf 29 maart 2019 een zogeheten ‘derde land’ (niet-lidstaat) is, wat gevolgen zal hebben voor de toepassing en geldigheid van het EU-recht in allerlei kwesties waarbij het VK betrokken is.

Het is van belang te benadrukken dat de uitkomst van de onderhandelingen ten aanzien van het vertrek van het VK  nog niet zeker is. Ook staat de waarschijnlijke uittredingsdatum van 29 maart 2019 niet per definitie vast. Zo kan de Europese Raad, op basis van art. 50 lid 3 VEU, de uittredingstermijn van twee jaar eventueel verlengen. De verlenging moet dan wel met eenparigheid van stemmen door de Europese Raad  worden besloten. Ook moet het VK hier uiteraard mee instemmen.

De AVG en het VK na Brexit: mogelijke scenario’s

Doordat het VK waarschijnlijk op 29 maart 2019 uit de EU zal treden en daarmee een ‘derde land’ wordt,  zal vanaf dat moment de Europese wet- en regelgeving niet meer van toepassing zijn in het VK.  Dit is niet het geval wanneer het VK met de EU afspraken zou maken over een transitieperiode of een toekomstige relatie waarbij het VK de rechtsmacht van het Europese Hof van Justitie (hierna: het Hof) aanvaardt. Hieronder worden enkele theoretische scenario’s van de Brexit en mogelijke implicaties met betrekking tot de AVG besproken.

  1. Het VK is geen EU-lidstaat maar aanvaardt rechtsmacht van het Hof van Justitie

Wanneer het VK afspraken zou maken met de EU over een transitieperiode of toekomstige relatie waarbij het VK het EU-recht blijft toepassen en de bevoegdheid van het Hof accepteert zou dit betekenen dat de AVG nog van toepassing is binnen het VK zonder dat het VK formeel deel uitmaakt van de EU. Over een dergelijke situatie stelt de AVG dan ook dat “Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is” (art. 3 lid 3 AVG). Dit is bijvoorbeeld nu al het geval bij landen die deel uitmaken van de Europese Economische Ruimte (EER), namelijk Noorwegen, IJsland en Liechtenstein. Dit zou kunnen betekenen, dat in het geval van bovenstaand scenario, de gemeentelijke persoonsgegevens geoorloofd verwerkt mogen worden in het VK, mits wordt voldaan aan de voorwaarden die volgen uit de AVG.

  1. Het VK is geen EU-lidstaat en aanvaardt niet de rechtsmacht van het Hof van Justitie

Wanneer het VK uit de EU treedt en er niet wordt afgesproken dat het VK de rechtsmacht van het Hof aanvaardt dan zal toch de AVG van toepassing zijn wanneer in het VK persoonsgegevens worden verwerkt van een verwerkingsverantwoordelijke die gevestigd is in de EU. Dit blijkt uit artikel 3 lid 1 AVG: “Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke (…) ongeacht of de verwerking in de Unie al dan niet plaatsvindt”. Dit betekent dat in het geval van het bovenstaande scenario,  de gemeente er rekening mee moet houden dat de AVG van toepassing blijft als de persoonsgegevens worden verwerkt in het VK. Daarnaast moet rekening worden gehouden met een apart kader in de AVG dat extra bepalingen neerlegt ten aanzien van de verwerking van persoonsgegevens buiten de EU.

Hoofdstuk vijf van de AVG stelt dat de doorgifte van persoonsgegevens aan derde landen, dus landen buiten de EU, alleen is toegestaan als is voldaan aan de nadere voorwaarden uit hoofdstuk vijf (art.44 AVG). Elke doorgifte en verwerking van persoonsgegevens in derde landen wordt eveneens gezien als een verwerking in de zin van de AVG. Ook hierbij zal moeten worden voldaan aan de voorwaarden uit de AVG. De bepalingen in hoofdstuk vijf van de AVG schetsen twee mogelijkheden waarbij het toegestaan is om persoonsgegevens in derde landen, wat het VK waarschijnlijk in de toekomst zal zijn, te verwerken.

a) Doorgiften op basis van adequaatheidsbeslissingen

Doorgifte van persoonsgegevens aan een derde land is toegestaan wanneer de Commissie heeft besloten dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens waarborgt (art. 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Tot dusver heeft de Commissie voor twaalf landen een adequaatheidsbeslissing  genomen. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Omdat de AVG voorafgaand aan de Brexit al wel van kracht is, is het niet onwaarschijnlijk dat het VK na de Brexit een zekere mate van bescherming van persoonsgegevens kan waarborgen. Dit betekent echter niet dat de Commissie na de Brexit automatisch een adequaatheidsbeslissing zal nemen. Ook voor het VK zal de Europese Commissie aan de hand van artikel 45 AVG moeten beoordelen of het VK voldoende waarborgen heeft ten aanzien van de blijvende bescherming van persoonsgegevens. Aan de hand van deze beoordeling zal de Commissie wel of niet een adequaatheidsbeslissing nemen. De Commissie heeft recent laten weten dat zolang er geen adequaatheidsbeslissing is genomen na de Brexit, de doorgifte naar en verwerking van persoonsgegevens in het VK alleen is toegestaan wanneer er aanvullende waarborgen worden genomen. Wanneer een dergelijke adequaatheidsbeslissing wél is genomen dan mogen de gemeentelijke persoonsgegevens geoorloofd worden verwerkt in het VK na de Brexit, mits wordt voldaan aan de bepalingen van de AVG die ook voor een verwerker binnen de EU zouden gelden.

 b) Doorgiften op basis van passende waarborgen

Wanneer voor een derde land geen adequaatheidsbeslissing is genomen door de Commissie dan is doorgifte van persoonsgegevens naar dat land alleen toegestaan wanneer passende waarborgen worden getroffen door de verwerker om een voldoende beschermingsniveau van persoonsgegevens te verzekeren. Daarnaast moeten de betrokkenen, waarvan de persoonsgegevens worden verwerkt, over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (art. 46 AVG). Dergelijke waarborgen kunnen de vorm hebben van:

Zolang de eerder genoemde adequaatheidsbeslissing niet is genomen door de Commissie mogen de gemeentelijke persoonsgegevens niet-geoorloofd worden verwerkt in het VK na de Brexit, tenzij passende waarborgen worden getroffen door de verwerker in het VK.

c) Uitzonderingen

Wanneer het niet mogelijk is om met de verwerker in het derde land passende waarborgen te treffen dan zijn er in specifieke omstandigheden enkele uitzonderingen waardoor verwerking van persoonsgegevens in een derde land alsnog geoorloofd is (art. 49 AVG). Het gaat dan om situaties waarbij bijvoorbeeld de betrokkene uitdrukkelijk met de voorgestelde doorgifte naar het derde land heeft ingestemd of wanneer doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang. Alle geoorloofde uitzonderingen zijn opgesteld in art. 49 AVG. Wanneer hier sprake van is, dan is het voor de gemeente niet noodzakelijk om met de verwerker in het VK passende waarborgen te treffen wanneer er geen adequaatheidsbeslissing is genomen na de Brexit. Wel is het vereist dat de gemeente de Autoriteit Persoonsgegevens informeert over wanneer gebruik wordt gemaakt van een dergelijke uitzondering (art. 49 lid 2 AVG).

Door:

David Schutrups, Europa decentraal

Meer informatie:

De Algemene verordening gegevensbescherming (AVG), Europa decentraal
Verwerking van persoonsgegevens, Europa decentraal
Brexit-loket voor decentrale overheden, Europa decentraal
Adequaatheidsbeslissingen, Europese Commissie
Notice to stakeholders: withdrawal of the United Kingdom and EU rules in the field of data protection, Europese Commissie
standaardcontractbepalingen inzake gegevensbescherming, Europese Commissie

 

 

X