Short Reads

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

Uitwisseling van persoonsgegevens met het Verenigd Koninkrijk

05.01.2021 EU law

Uit de Brexit deal volgt dat gedurende de eerste 4 maanden van 2021 de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk (“VK”) nog op dezelfde manier mag plaatsvinden als voorheen. Maar alleen als het VK in deze periode de regels voor de bescherming van persoonsgegevens niet verandert. Deze periode van 4 maanden kan worden verlengd tot 6 maanden.

Gehoopt wordt dat de Europese Commissie (“EC”) in de tussentijd alsnog een zogenoemd “adequaatheidsbesluit” zal nemen. Dat houdt in dat de EC vaststelt dat het beschermingsniveau van het VK passend is en blijft vrij verkeer van persoonsgegevens naar het VK mogelijk zonder aanvullende maatregelen.

Gebeurt dat (nog) niet binnen die periode? Dan is doorgifte van persoonsgegevens naar het VK vanaf 1 mei (of in geval van verlenging 1 juli) 2021 verboden, tenzij er passende maatregelen worden getroffen om een veilige gegevensuitwisseling te waarborgen. Zo kan gebruik worden gemaakt van de modelcontractbepalingen van de EC. Voor intra-groep uitwisseling van persoonsgegevens blijven ook bindende bedrijfsvoorschriften bruikbaar die door de toezichthouder zijn goedgekeurd. Incidentele doorgifte is soms mogelijk, bijvoorbeeld met toestemming van de betrokkene of wanneer dit noodzakelijk is voor een juridische procedure in het buitenland.

In de Schrems II uitspraak van het Europese Hof van Justitie van 16 juli jl. is benadrukt dat bij doorgifte daadwerkelijk sprake dient te zijn van een gelijkwaardige (“essentially equivalent”) bescherming van persoonsgegevens. In een verklaring en informatienotitie omtrent de Brexit wijst de European Data Protection Board (“EDPB”) expliciet op de noodzaak van het nemen van passende maatregelen en eventuele aanvullende maatregelen als er geen adequaatheidsbesluit wordt afgegeven.

Wat te doen?

De overgangstermijn laat gegevensuitwisseling vooralsnog onveranderd toe, als ware het VK nog een EU-lidstaat. Dit biedt de gelegenheid voor te sorteren op de periode daarna, voor zover dat nog niet is gebeurd.

Allereerst is aanbevolen na te gaan of er uitwisseling van gegevens plaatsvindt met het VK en wat de aard en omvang daarvan is. Vraag ook uw verwerkers uit naar verwerking in de keten en spreek met hen af dat zij u onverwijld op de hoogte zullen stellen van eventuele wijzigingen in de regels voor de bescherming van persoonsgegevens in het VK. Ga na welk mechanisme voor doorgifte voor uw situatie het meest geschikt is en ga na of aanvullende maatregelen nodig zijn. Zorg ervoor dat het gekozen mechanisme voor doorgifte tijdig klaar ligt, voor het geval er geen adequaatheidsbesluit wordt afgegeven. Zelfs als uw organisatie de Brexit al heeft voorbereid, is het raadzaam om na te gaan of de destijds gekozen oplossingen in het licht van de Schrems II uitspraak nog steeds juist zijn of dat er aanvullende maatregelen nodig zijn. Denk ook aan het aanpassen van uw verwerkingsregister en privacybeleid om aan te geven dat er doorgifte naar het VK plaatsvindt.

Tot slot: de Autoriteit Persoonsgegevens raadt aan om haar website regelmatig te raadplegen voor updates.

Vanzelfsprekend zijn we graag bereid u te helpen bij vragen.

Team

Related news

22.07.2021 NL law
Towards a European legal framework for the development and use of Artificial Intelligence

Short Reads - Back in 2014, Stephen Hawking said, “The development of full artificial intelligence could spell the end of the human race.” Although the use of artificial intelligence is nothing new and dates back to Alan Turing (the godfather of computational theory), prominent researchers – along with Stephen Hawking – have expressed their concerns about the unregulated use of AI systems and their impact on society as we know it.

Read more

19.07.2021 BE law
One year of Schrems II: a state of affairs for international data transfers

Articles - International data transfers have been the subject of intense debates ever since the Court of Justice issued its landmark judgement of Schrems I, on 6 October 2015. The intensity of the debate was further reinforced since the Schrems II decision one year ago, on 16 July 2020. The decision annulled the U.S. Privacy Shield and severely tightened the rules on the use of standard contractual clauses (“SCCs”).

Read more

18.05.2021 NL law
Kroniek: De bestuursrechtelijke aspecten van de AVG

Articles - Tom Barkhuysen, Steven Bastiaans en Fatma Çapkurt (Universiteit Leiden) schreven samen de eerste editie van de nieuwe jaarlijkse NTB kroniek: de bestuursrechtelijke aspecten van de AVG. Hierin bespreken zij onder meer de meest relevante (bestuursrechtelijke) jurisprudentie van het afgelopen jaar op het gebied van de AVG.

Read more

18.06.2021 NL law
FAQ: Wat houdt het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) in en wat is de verhouding tot de AVG?

Short Reads - (Digitale) gegevensuitwisseling in de zorg is een actueel thema. Illustratief is een item bij EenVandaag van april 2021 waarin de analoge werkwijze bij gegevensuitwisseling in de zorg wordt aangekaart, maar ook dit artikel in het NRC van afgelopen maand waarin verslag werd gedaan van een datalek waardoor duizenden gevoelige patiëntgegevens op straat kwamen te liggen. 

Read more

04.05.2021 NL law
Participatie en privacyregels: hoe te combineren onder de Omgevingswet?

Short Reads - In het stelsel van de Omgevingswet (Ow) is een belangrijke rol bedacht voor participatie bij de totstandkoming van besluiten. Het beoogde resultaat: tijdig belangen, meningen en creativiteit op tafel krijgen en daarmee een groter draagvlak en kwalitatief betere besluitvorming bereiken. Door een grotere betrokkenheid van meer personen gaan overheden en initiatiefnemers ook meer persoonsgegevens verwerken. Dit brengt privacyrisico’s met zich mee. Wat regelt de Ow op het gebied van privacy, de verwerking van persoonsgegevens en datagebruik?

Read more