In dit artikel bekijken we wat de Brexit betekent voor de wetgeving op het gebied van gegevensbescherming en welke gevolgen dit heeft voor bedrijven die actief zijn in het Verenigd Koninkrijk en Europa.
Op 31 december 2020 liep de overgangsperiode voor de Brexit af. Hoewel de EU-AVG daardoor niet langer rechtstreeks van kracht is binnen het VK, is de AVG wel als nationale wet aangenomen, samen met een aantal wijzigingen die ervoor zorgen dat deze wet in het VK kan worden toegepast. Deze gewijzigde versie, ook wel aangeduid als de ‘Britse AVG’, is nu van toepassing op de verwerking van gegevens binnen het Verenigd Koninkrijk. Zoals de Britse Gegevensbeschermingsautoriteit (ICO) toelicht in haar FAQ over het einde van de overgangsperiode zullen andere regels zoals de PECR (Privacy and Electronic Communications Regulations) en de NIS (Network and Information Systems Regulations) in het Verenigd Koninkrijk blijven gelden.
Maar wat betekent dit voor bedrijven? Volgens een recent artikel van Osborne Clarke hebben “zowel de EU-AVG als de Britse AVG extraterritoriale werking en zullen bedrijven moeten nadenken over de gevolgen die de twee regimes zullen hebben voor hun gegevensstromen, verwerkingsadministratie, contracten, beleid en procedures, en voor het vereiste om vertegenwoordigers voor gegevensbescherming binnen de EU aan te stellen.”
Wie heeft met deze veranderingen te maken?
Voor veel bedrijven geldt dat zij onder beide AVG-regimes zullen vallen, omdat zowel de Europese als de Britse wetgeving op het gebied van gegevensbescherming extraterritoriale werking heeft. Als u bijvoorbeeld vestigingen heeft in zowel de EU als het VK, valt u onder beide regimes. Hoewel de EU-AVG en de Britse AVG elkaar grotendeels overlappen, blijven het aparte wetten, en bedrijven zullen zich er dus op moeten voorbereiden dat zij aan beide moeten voldoen.
Contracten
Een van de dingen die met onmiddellijke ingang verandert als gevolg van de invoering van het Britse AVG-regime is dat veel organisaties hun contracten en beleid zullen moeten aanpassen. In het rapport van Osborne Clarke over dit onderwerp staat dat “de verwachting is dat de ICO te zijner tijd een nieuwe reeks standaardcontractbepalingen zal goedkeuren, die waarschijnlijk zullen overeenkomen met en zullen worden afgestemd op de nieuwe ontwerp-standaardcontractbepalingen die in november 2020 door de Europese Commissie zijn gepubliceerd.”
Bij nieuwe contracten en nieuw beleid zullen veel mensen meteen denken aan het papierwerk dat hierbij komt kijken! Voor een onderneming met vestigingen in het VK en de EU kan dit betekenen dat de stapel papierwerk verveelvoudigt als u deze documenten moet vertalen voor elk land waarin u actief bent. Ons gespecialiseerde juridisch vertaalteam staat klaar om u tijdens dit hele proces te ondersteunen, is 24/7 beschikbaar en zorgt ervoor dat u binnen een uur een offerte ontvangt.
Wat moet er verder worden aangepast?
Al naargelang de omstandigheden zullen er voor bepaalde ondernemingen aanvullende regels gaan gelden. Zo kan het in de komende maanden nodig zijn voor organisaties om aparte functionarissen voor gegevensbescherming aan te stellen voor de EU en het VK. Bedrijven moeten er ook voor zorgen dat hun administratie, privacybeleid en contracten zodanig worden aangepast dat hierin rekening wordt gehouden met de positie van het Verenigd Koninkrijk buiten de EU.
En nu?
In de weken voor de Brexit bestond er veel onzekerheid over wat een Brexit zonder akkoord zou betekenen voor de AVG en voor organisaties die gegevens moeten doorgeven tussen de EU en het VK. De EU moet nog beslissen of het VK een passend niveau van gegevensbescherming biedt, maar gelukkig voorziet de handels- en samenwerkingsovereenkomst tussen de EU en het VK in een tijdelijke oplossing die de EU meer tijd geeft om hierover een besluit te nemen. Als gevolg van de overeenkomst is de doorgifte van gegevens rechtmatig gedurende een periode van maximaal zes maanden te rekenen vanaf 1 januari 2021. Zoals DLA Piper heeft geconcludeerd in het rapport over de doorgifte van gegevens tussen de EU en het VK, “zijn de gedane toezeggingen, in combinatie met de overbruggingsperiode van zes maanden die in de handelsovereenkomst is opgenomen, goed nieuws voor het bedrijfsleven en biedt dit voldoende vertrouwen om ervanuit te kunnen gaan dat er binnen afzienbare termijn een oplossing komt waarmee een passend niveau van gegevensbescherming wordt gewaarborgd.” Omgekeerd heeft het VK al bevestigd dat het het beschermingsniveau in de EU-lidstaten als passend beschouwt en dat gegevens zonder aanvullende wijzigingen kunnen blijven worden uitgewisseld. Dit is goed nieuws voor zowel Europese als Britse bedrijven.
Kortom, hoewel de AVG-regimes in de EU en het VK grotendeels vergelijkbaar zijn, zijn er toch een paar aandachtspunten als het gaat om het beleid en de procedures op het gebied van gegevensbescherming. Indien uw bedrijf hulp nodig heeft bij de vertaling van juridische documenten, neem dan contact met ons op. Wij helpen u graag!