image

Juridische vraag: Hoe regel ik de opslag van persoonsgegevens in het Verenigd Koninkrijk na de Brexit?

woensdag 23 januari 2019, 10:11 door Arnoud Engelfriet, 10 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ook het laatste voorstel vanuit het Verenigd Koninkrijk om tot een ordelijke Brexit te komen lijkt te zijn mislukt, las ik. Mag ik dan nog wel persoonsgegevens bij Engelse (of Schotse of Welshe) bedrijven laten verwerken? Immers, zonder regeling is het VK straks gewoon een "derde land" onder de AVG en daar mag je eigenlijk geen persoonsgegevens stallen.

Antwoord: Onder de AVG zijn de regels voor opslag van persoonsgegevens buiten de Europese Economische Ruimte (de EU plus Liechtenstein, Noorwegen en IJsland) erg streng. Het onderliggende argument is dat deze landen geen fatsoenlijke wetgeving rondom persoonsgegevens hebben, en daarom die gegevens van Europese burgers gewoon niet moeten krijgen. Uitzonderingen daargelaten: twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.

Voor andere landen ligt het ingewikkelder. Hoofdstuk V van de AVG noemt vele opties, maar de eisen zijn behoorlijk streng. Praktisch gezien zijn er twee werkbare opties: de uitdrukkelijke specifieke toestemming van de betrokken personen, en de zogeheten modelclausules als basis voor een overeenkomst met je Engelse bedrijf.

Toestemming. Artikel 49 AVG biedt deze optie, maar kleedt ‘m zo zwaar in dat het eigenlijk niets oplevert:

a) de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

Even voor de duidelijkheid: hier staat niet dat je mag werken met een popup met vinkje "Ik ben akkoord met opslag van mijn gegevens in Londen". Je moet een uitdrukkelijke handeling of verklaring halen en je moet kunnen bewijzen dat je mensen in eenvoudige en duidelijke taal (taalniveau B2, de folder bij de apotheek) hebt uitgelegd wat de risico’s zijn als hun gegevens in Engeland opslaat of een Engelse verwerker er mee aan de slag laat gaan.

Het zou flauw zijn om nu te zeggen, leg zelf maar eens uit wat die risico’s zijn. Maar ingewikkeld is het wel. In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen. En dan heb ik het niet alleen over stiekeme toegang door overheidsdiensten zoals MI5 of Special Branch, maar ook over datahandel door die bedrijven zelf. Er is geen fatsoenlijke privacywet daar, dus je weet gewoon niet wat die bedrijven vinden dat legaal is.

Natuurlijk kun je dan zeggen, ik ga een contract met ze maken waarin ik dat gewoon keihard verbied. Dat is juridisch alleen niet genoeg binnen deze optie, je moet nog steeds die voorlichting bieden. En vooral – mijn grootste bezwaar – tegen deze optie: mensen kunnen hun toestemming te allen tijde intrekken. Dat maakt werken op deze basis erg wankel.

Werken met de zogeheten Model Clauses is dan ook volgens mij de enige reële optie. Je maakt dan een speciaal contract waarin in strenge taal (door de EU opgesteld en goedgekeurd) de Engelse partij allerlei plichten opgelegd krijgt over hoe om te gaan met persoonsgegevens, hoe te borgen dat jouw personeel of klanten hun rechten kunnen halen en hoe jij toezicht houdt op wat die Engelsen gaan doen.

Dit voelt als een redelijk papieren exercitie en dat is het natuurlijk ook. Maar het is wel iets om op papier mee verder te kunnen totdat de EU en het VK er werkelijk uit zijn. En dan hopen we maar dat dat binnen een jaar of twee bekeken is, want tegen die tijd zullen de model clauses sneuvelen vermoed ik gezien een rechtszaak van de onvermoeibare Max Schrems die tegen dit soort papieren tijgers ten strijde trekt.

De meer cynisch georiënteerde jurist zal dus zijn klanten eerder een vertrek uit het VK aanraden. Gebruik de model clauses als lapmiddel totdat je de migratie compleet hebt, maar heb een plan om weg te gaan op de kortst mogelijke termijn.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
23-01-2019, 10:41 door Anoniem
Wederom valt artikel 27 buiten de boot. Waarom vergeet iedereen dat steeds?
Artikel 27 lid 1: "Wanneer artikel 3, lid 2, van toepassing is, wijst de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de Unie aan."
Dus ieder bedrijf buiten de EU moet, indien zij persoonsgegevens van EU burgers verwerken, een vertegenwoordiger aanstellen in een EU land, die het aanspreekpunt is voor de DPA's, maar ook aansprakelijk gesteld kan worden.
23-01-2019, 11:34 door Anoniem
"In de kern komt het erop neer dat je niet kunt voorkomen dat die Engelse bedrijven die je erbij betrekt, andere dingen doen dan van de AVG/GDPR mogen."
Maar het UK is tot nu toe EU-lid en AVG/GDPR is ook daar van toepassing.
23-01-2019, 12:56 door Anoniem
Hoe regel ik de opslag van persoonsgegevens in het Verenigd Koninkrijk na de Brexit?

Onder welk BrExit scenario ?
23-01-2019, 14:09 door Anoniem
Dat weet je nog niet, hangt af van of die er echt komt en zoja op welke manier.
Daarnaast, komt er wel of geen verdrag, iets wat lijkt op een privacy schield tussen US en EU, etc. etc. etc.

In het minst gunstige geval is het gewoon geen EU land straks en dat weet je dus wat je extra moet doen he ;)
23-01-2019, 14:10 door Anoniem
Achter onderstaand linkje de uitleg van de Engelse overheid voor het geval er een no-deal Brexit is:
https://www.gov.uk/government/publications/data-protection-if-theres-no-brexit-deal/data-protection-if-theres-no-brexit-deal
23-01-2019, 14:32 door Anoniem
Toch begrijp ik deze uitleg niet.

Er staat eigenlijk dat ze in de UK lagere privacy wetgeving hebben. Tegelijkertijd; de UK behoord al een tijdje tot de EU en dus is *tot* de brexit de GDPR van toepassing.

Ze zouden dus juist alles op dit moment op orde moeten hebben en wanneer de brexit een feit is, gaan behoren tot de adequate landen ???

Bart
23-01-2019, 15:06 door Anoniem
Door Anoniem: Ze zouden dus juist alles op dit moment op orde moeten hebben en wanneer de brexit een feit is, gaan behoren tot de adequate landen ???

Het klopt dat de op dit moment alles op orde hebben, het vigerend beleid is inderdaad de GDPR. De UK heeft inderdaad aangekondigd na de Brexit het wettelijk kader van de GDPR te blijven handhaven. Als de wet hetzelfde blijft als de Europese wetgeving, dan zou je kunnen zeggen dat die wetgeving adequaat is. Echter, dat moet wel geformaliseerd worden in een adequaatheidsbesluit zoals Arnoud aangeeft. Op dit moment heeft de european data protection board daar echter nog geen uitspraken over gedaan op welke termijn dat zou gaan gebeuren.

Als er wel een deal gemaakt wordt, dan zou dat adequaatheidsbesluit bijvoorbeeld op 29 of 30 maart kunnen in gaan. Bij een no-deal Brexit zou dat best wel eens langer kunnen gaan duren.
23-01-2019, 15:35 door Anoniem
twaalf landen zijn erkend als adequaat op dit gebied, en Japan is vlakbij erkenning. Met die landen kun je dus gewoon zaken doen rondom persoonsgegevens.
Tekst is achterhaald. Vandaag is Japan erkend volgens persbericht van de eu
http://europa.eu/rapid/press-release_IP-19-421_en.htm
23-01-2019, 18:39 door HapSlikWeg
Gelukkig liggen er voor de verhuizing hele goeie datalijnen. Zonder douanekantoor op de routers. Je moet wel heel veel data hebben als je dat niet snel verhuisd kan krijgen. En er hoeft geen verhuiswagen drie weken bij de Eurotunnel vast te staan als die brexit doorgaat, en het daar en bij de EuroFerry een enorme puinhoop wordt. Alles opnieuw installeren is natuurlijk een ander verhaal.

Ik zit zelf lekker in Amsterdam met mijn machientje. Ook al gekozen omdat dat een goeie plek is qua verbindingen en toekomsten over privacy. De USA of Londen vielen al gelijk van mijn lijstje. Frankfurt eigenlijk ook liever niet. De Duitsers kunnen nog wel eens wat extra wettelijke schepjes overal op willen gooien.

Het vervelende, als je in de UK je data hebt staan is dat de Engelsen er maar niet uit raken. Wel scheiden, niet scheiden, hard scheiden, zacht scheiden. En zaken als privacywetten en zo al helemaal niet meer een rol spelen in die beslissing.

Had ik anderhalf jaar voor Londen gekozen, dan zou ik wel vast naar wat alternatieven zoeken. Maar ik denk niet dat als het volgende week ineens toch een keiharde brexit wordt, dat het gelijk boetes gaat regenen bij iedereen die nog wat data in de UK heeft bungelen. Tegelijk, gaat die brexit toch helemaal niet door, dan heb je je ook weer druk gemaakt om niks. Maar misschien begginnen ze over twee jaar weer met de scheiding aan te vragen.

Ik zit al in Mokum. Dat is gebouwd op palen. Maar drijft beter. En ik denk voorlopig niet dat ik daar snel tot een database ontruiming over moet gaan. Dat verhaal over die zeespeigel kan nog decennia duren. Of eeuwen.

Maar goed. Data pompen uit de UK mag echt geen probleem meer zijn. En vergeet niet, het eerste landen TLD dat werd uitgereikt was .nl.
14-02-2019, 21:15 door ph-cofi
Hoe zou het Conservative sentiment uitpakken na de Brexit met betrekking tot de GDPR? "Willen we wel dat de EU alsnog de dienst uitmaakt hier?"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.