Deal or no deal: de impact van een mogelijke harde Brexit op uw organisatie

Nog 3 maanden te gaan

Door de coronacrisis is de aandacht voor de Brexit wellicht wat verminderd, maar nu de einddatum van de overgangsperiode steeds dichterbij komt, vinden de onderhandelingen tussen de Britse overheid en de Europese Unie in volle gang plaats. De overgangsperiode loopt tot 1 januari 2021 en tot die tijd is de AVG (GDPR) van kracht in het VK. De onderhandelingen hebben grofweg twee mogelijke uitkomsten: een ‘deal’ of ‘no deal’ Brexit. Een no deal Brexit, ook wel de ‘harde Brexit’ genoemd, lijkt vandaag de dag steeds waarschijnlijker.

Het no deal scenario

Als de onderhandelingen op niets uitlopen en er vindt een no deal Brexit plaats, dan is het VK geen lid meer van de interne markt en de douane-unie en zijn er geen aanvullende afspraken tussen de EU en het VK. Er zijn dan ook geen aanvullende afspraken over de doorgifte van persoonsgegevens. Dat wil zeggen dat er volgens GDPR sprake is van een doorgifte van persoonsgegevens aan een ‘Derde land’; een land buiten de Europese Unie. Dan gelden dezelfde regels als voor andere landen buiten de EU, zoals de VS, China en Australië.

Adequaatheidsbesluit

Mogelijk komt de EU nog met een zogenaamd ‘adequaatheidsbesluit’. Dit betekent dat de EU kan bepalen dat een Derde land een gelijkwaardig niveau van bescherming biedt als de EU. Echter, in geval van een no deal Brexit zal zo’n adequaatheidsbesluit niet direct paraat zijn, en zal ook daar tijd overheen gaan. Ter illustratie; het adequaatheidsbesluit voor Japan heeft 2 jaar geduurd. Daarentegen is de GDPR in het VK al die tijd van kracht geweest, en nu nog steeds, in tegenstelling tot Japan. Bovendien geeft de Britse overheid aan dat zij de intentie heeft om de GDPR in te lijven in de Britse wetgeving na het einde van de overgangsperiode.

In geval van no deal zonder adequaatheidsbesluit

In geval van een no deal en indien er geen (tijdig) adequaatheidsbesluit volgt vanuit de EU, dan zullen organisaties andere instrumenten moeten gebruiken om te zorgen dat de gegevensdoorgifte aan het VK legitiem is, conform de regels die nu gelden voor Derde landen. De meest relevante instrumenten hiervoor zijn ‘Standard Contractual Clauses’ (SCC) die door de Europese Commissie zijn goedgekeurd en ‘Binding Corporate Rules’ (NB dit is voor verwerkingen binnen internationale organisaties of multinationals). De SCC of de BCR vervangen de verwerkersovereenkomst.

Wees voorbereid

Wanneer uw organisatie gebruik maakt van een verwerker of een partij in het VK waar persoonsgegevens mee gemoeid zijn, bereid u dan voor:

• Maak de datastromen naar het VK inzichtelijk;
• Zorg dat de verwerkingen in het VK nu GDPR-proof zijn;
• Contacteer de partijen en vraag hoe zij zich voorbereiden op een no deal Brexit;
• Zorg dat u heeft bepaald welk alternatief u gaat gebruiken; Standard Contractual Clauses of Binding Corporate Rules.

Met nog 3 maanden te gaan en grote belangen die op het spel staan, zullen de onderhandelingen op het scherpst van de snede worden gevoerd. Of er een deal of no deal komt, de tijd zal het leren. Uiteraard houden wij de berichtgeving over de Brexit nauwlettend in de gaten. Wij informeren u als er belangrijk nieuws is. Deal?

Heeft u vragen naar aanleiding van dit artikel? Neem dan gerust contact met ons op.