Wat kun je doen om na de Brexit Engelse bedrijven data te laten verwerken?

Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik in diverse media. Daarmee wordt de kans reëel dat men op 29 maart geen overeenstemming heeft bereikt met de Europese Unie over het vertrek van het land. Dat riep bij diverse lezers de zenuwachtige vraag op, mag ik dan nog wel persoonsgegevens bij Engelse (of Schotse of Welshe) bedrijven laten verwerken? Immers, zonder regeling is het VK straks gewoon een “derde land” en daar mag je eigenlijk geen persoonsgegevens stallen.

Onder de AVG zijn de regels voor opslag van persoonsgegevens buiten de Europese Economische Ruimte (de EU plus Liechtenstein, Noorwegen en IJsland) erg streng. Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen. Uitzonderingen daargelaten: twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.

Voor andere landen ligt het ingewikkelder. Hoofdstuk V van de AVG noemt vele opties, maar de eisen zijn behoorlijk streng. Praktisch gezien zijn er twee werkbare opties: de uitdrukkelijke specifieke toestemming van de betrokken personen, en de zogeheten modelclausules als basis voor een overeenkomst met je Engelse bedrijf.

Toestemming. Artikel 49 AVG biedt deze optie, maar kleedt ‘m zo zwaar in dat het eigenlijk niets oplevert:

a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

Even voor de duidelijkheid: hier staat niet dat je mag werken met een popup met vinkje “Ik ben akkoord met opslag van mijn gegevens in Londen”. Je moet een uitdrukkelijke handeling of verklaring halen en je moet kunnen bewijzen dat je mensen in eenvoudige en duidelijke taal (taalniveau B2, de folder bij de apotheek) hebt uitgelegd wat de risico’s zijn als hun gegevens in Engeland opslaat of een Engelse verwerker er mee aan de slag laat gaan.

Het zou flauw zijn om nu te zeggen, leg zelf maar eens uit wat die risico’s zijn. Maar ingewikkeld is het wel. In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen. En dan heb ik het niet alleen over stiekeme toegang door overheidsdiensten zoals MI5 of Special Branch, maar ook over datahandel door die bedrijven zelf. Er is geen fatsoenlijke privacywet daar, dus je weet gewoon niet wat die bedrijven vinden dat legaal is.

Natuurlijk kun je dan zeggen, ik ga een contract met ze maken waarin ik dat gewoon keihard verbied. Dat is juridisch alleen niet genoeg binnen deze optie, je moet nog steeds die voorlichting bieden. En vooral – mijn grootste bezwaar – tegen deze optie: mensen kunnen hun toestemming te allen tijde intrekken. Dat maakt werken op deze basis erg wankel.

Werken met de zogeheten Model Clauses is dan ook volgens mij de enige reële optie. Je maakt dan een speciaal contract waarin in strenge taal (door de EU opgesteld en goedgekeurd) de Engelse partij allerlei plichten opgelegd krijgt over hoe om te gaan met persoonsgegevens, hoe te borgen dat jouw personeel of klanten hun rechten kunnen halen en hoe jij toezicht houdt op wat die Engelsen gaan doen.

Dit voelt als een redelijk papieren exercitie en dat is het natuurlijk ook. Maar het is wel iets om op papier mee verder te kunnen totdat de EU en het VK er werkelijk uit zijn. En dan hopen we maar dat dat binnen een jaar of twee bekeken is, want tegen die tijd zullen de model clauses sneuvelen vermoed ik gezien een rechtszaak van de onvermoeibare Max Schrems die tegen dit soort papieren tijgers ten strijde trekt.

De meer cynisch georiënteerde jurist zal dus zijn klanten eerder een vertrek uit het VK aanraden. Gebruik de model clauses als lapmiddel totdat je de migratie compleet hebt, maar heb een plan om weg te gaan op de kortst mogelijke termijn.

Arnoud

15 reacties

  1. Maar het VK heeft op dit moment toch ook gewoon een implementatie van de GDPR/AVG? Deze is tenslotte vanuit de EU opgelegd en het VK zat bij de in werking stelling van deze wet gewoon nog in de EU. Dus volgens mij heeft het VK dus wel een wetgeving die onderstaand problem oplost:

    Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen.
    Natuurlijk zal de Uk dan deze wet niet zomaar moeten intrekken of veranderen, maar zolang ze dat niet doen, zie ik alleen maar een snel proces naar erkenning van adequate privacy wetgeving liggen (voor zover ambtenarij snelle processen kent) .

    1. Nee, de GDPR vervalt op 29 maart omdat het een Europese wet is met directe werking. De Engelsen hebben geen eigen implementatie daarvan, dat kan ook helemaal niet. Dat was zo onder de oude regels, toen moest elk land een eigen wet (bij ons de Wbp) maken op basis van de Richtlijn. Maar de GDPR is gewoon meteen een wet, direct van kracht en direct inroepbaar. Maar dus vanuit Brussel gedicteerd, dus zodra het VK weggaat, geldt de GDPR niet meer in het VK.

        1. Ik dacht ook begrepen te hebben dat ze dat van plan waren (maar ik kan ook niet meer bijhouden wat proefballonetjes zijn en wat serieuze voorstellen zijn, en welke daarvan er nog steeds op tafel liggen): Ze willen op Brexit-day met een grote wet in een keer alle Europese wetten overnemen als nationale wetgeving, om ze later op hun gemak aan te passen/af te schaffen.

          1. Je kunt natuurlijk de tekst van die GDPR copy-pasten in een Britse wet en die aannemen. Maar als er een geschil is wie gaat dat dan interpreteren? Het is dan geen Europees recht meer maar Brits recht en dat zal dan de Britse rechter zijn. Dat zal een no-go zijn voor de EU.

            1. Die zie ik niet. De Japanse privacywet wordt ook niet door de EU-rechter getoetst, toch is het Japans privacyrecht equivalent aan het onze. Een adequaatheidsbeslissing vereist niet dat je stipt EU rechtspraak volgt, je moet grosso modo dezelfde regels hebben die op dezelfde manier worden gehandhaafd.

              Omgekeerd, heb je netjes de GDPR overgetypt en neem je vrijwillig alle HVJ beslissingen over interpretatie slaafs over, dan ben je niét adequaat want dat ben je alleen als de Europese Commissie besluit van wel.

              1. Ff kijken we hadden het toch niet over een adequaatheidsbeslissing? Het ging over een unilateraal kopieren van de GDPR-verordening in Britse wetgeving als noodoplossing bij een no-deal brexit. Volgens mij zal dat geen soelaas bieden omdat simpelweg kopieren van EU-recht het nog geen EU-recht maakt. Je hebt dus een adequaatheidsbeslissing door de EU nodig maar die zal neem ik aan altijd deel zal uitmaken van een grotere deal, die er dus vooralsnog niet is. Een equivalent verklaring van de Britse privacy wetgeving is natuurlijk wel de meest logische oplossing.

            2. Nou ja, op zich kan het Britse recht dan gewoon getoetst worden naar de EU maatstaven. Zoals in de blog al staat, er zijn 12 landen erkend als adequaat, maar dat zal op 29 maart niet gelijk zo zijn, zelfs als de wet per direct intreedt.

        1. Dat is geen volledige eigen GDPR-achtige wet, maar een aanvulling op de GDPR die punten regelt die lidstaten zelf mogen invullen. Ik lees wel dat het de bedoeling is dat deze het gat opvangt dat de Brexit gaat slaan, maar in de tekst (http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted) kan ik niet de volledige tekst van de GDPR terugvinden.

          Zelfs als die tekst er wel gewoon in staat (al is het maar by reference), dan nog blijft formeel het punt dat de EU moet zeggen “ja klopt, jullie wet is equivalent en dus adequaat”. Totdat de EU dat zegt, is hun wet niet adequaat in onze ogen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.