Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

Brexit en AVG….

Nu het Verenigd Koninkrijk uit de EU lijkt te stappen treedt, doet zich een eigenaardig fenomeen voor: eerst is het een “maatje” waarmee we alles mochten delen en “opeens” wordt het een “derde” land dat we met voorzichtigheid moeten behandelen daar waar het gaat om persoonsgegevens. Gezien onze nauwe relatie met het UK, delen we vast heel veel gegevens met hen, al was het maar op import/export-gebied alleen al. Daarnaast is het UK een echt ICT-land en zullen er veel ICT-samenwerkingen bestaan; heel EU zal veel persoonsgegevens in de UK, een toekomstig derde land, hebben. 

Het uittreden betekent dat het UK zich niet meer aan de AVG behoeft te houden en derhalve moeten organisaties in de EER maatregelen nemen om de IB en het P van hun persoonsgegevens in relatie tot zaken in het UK te beschermen.

 

We hebben deze situatie natuurlijk al wel eerder aan de hand gehad met “buitenlandse” organisatie. Welke maatregelen moeten wij dan nu gaan treffen om zaken te blijven doen met het UK?

Waar zit de pijn bij ons?

De vraag waar de pijn zit, wordt beantwoord door te bezien waar Brexit de eisen van de AVG raakt, wat we dan moeten gaan doen om toch met britse organisaties zaken te doen. Er zijn een aantal basis-eisen uit de AVG waaraan dan moet worden voldaan en de AVG biedt een aantal, nog niet toegepaste, opties om de nieuwe situatie in te vullen.

Eis 1: het toepassingsgebied. (art. 2 jo. 3 AVG)

De AVG schrijft voor dat organisaties die gevestigd zijn in de EER aan de AVG moeten voldoen. Ook wanneer zijn “slechts” actief zijn (aanbieden van goederen en diensten of het monitoren van gedrag) moeten zij aan de AVG voldoen aan de AVG.

In dit geval is het vooral een EU-zaak; organisaties die niet aan de AVG voldoen en actief zijn in de EER moeten door de Commissie worden aangepakt. Als NL-onderneming heb je daar niet veel aan; het is de vraag of dat onderwerp bij de EU aandacht gaat krijgen. De enige maatregel die hier te verzinnen is, is dat data in de EER moet worden opgeslagen en verwerkt. De vraag is (nu al) hoe dat dan is af te handhaven.


Eis 2: het UK-bedrijf wijst een vertegenwoordiger aan in de EER. (art. 27 AVG)

Deze eis geldt alleen wanneer het UK-bedrijf zelf niet in de EER is gevestigd, als boven aangeduid. De AVG stelt dan dat in dat geval een vertegenwoordiger moet worden aangesteld. Dat moet dan in de lidstaat waar de activiteiten plaatsvinden. Bij internetgebruik zal dat dan wellicht in ieder land van de EER moeten zijn; nog steeds 30 stuks!

Het doel van de AVG zal zijn om aansprakelijk te kunnen uitoefenen. Dat betekent dan wel dat de UK-vertegenwoordiger een rechtspositionele status moet hebben. Een BV of een stichting dus, een Ltd gaat niet meer. Het is daarmee niet alleen een EU-zaak maar ook een zaak van de organisaties die met het UK-bedrijf zaken doen: u moet kunnen verhalen! Daarnaast bent u (altijd) zelf ook voor de AVG verantwoordelijk en dus aansprakelijk. In ovk’s met het individuele UK-bedrijf is dit een van de aspecten die goed moeten worden geregeld!

Eis 3: met een verwerker is een vovk aangegaan. (art. 28 AVG)

Deze eis is niet bijzonder. Ook voor in de EER gevestigde Verwerkers kennen we dit fenomeen.

Het UK-bedrijf mag dus in de keten geen Verantwoordelijke zijn. Dan nemen beiden organisaties namelijk een min of meer onafhankelijk rol aan. In dat geval wordt het geen formeel-wettelijke verplichting, maar is het een civiele kwestie en zijn overeenkomsten alleen via de rechter af te dwingen (ik raad iedereen af om onder Common Law rechtszaken te voeren!). Ondertussen is het Nederlandse bedrijf wel direct aansprakelijk voor de AP!

Optie 4: erkende gedragscodes (art. 40 AVG)

Dit lijkt een mooie optie: als een dekkende gedragscode wordt gehanteerd, is zowel IB en P geregeld! Nadeel van dit artikel is dat de EU daar toezicht op moet houden en niet bevoegd meer(!) is in het UK. Daarnaast: een gedragscode is vrijblijvend! Geweldig voer voor juristen…!

Een gedragscode geldt voor een sector of een beroepsgroep. Er zullen dus vele gedragscodes voor handel met het UK moeten gaan komen. Het opstellen van zo’n code heeft doorgaans veel voeten in aarde en is waarschijnlijk niet voor een eventueel uittreden (nu feb 2019) gereed.

Optie 5: certificering van de UK-organisatie (art. 42 AVG)

Dit is een betere optie dan de gedragscode. Er zijn dan normen gesteld die objectief kunnen worden gecontroleerd op implementatie en toepassing. Het verhoogt daarmee het vertrouwen van de consument. Op het ogenblik zijn alleen IB-certificeringen beschikbaar, met name ISO-27001 die ook nog eens internationaal is. Voor het P-aspect is er nog geen norm. Ook hier geldt dat een norm, de implementatie en de controle erop, niet voor het uittreden van het UK kan worden verwacht. Certificering is overigens altijd vrijwillig.
Voordeel is dat de ISO-norm niet sector- of beroepsgroep is gebonden. Het gecertificeerd zijn ontslaan V en VV overigens niet van het moeten voldoen aan de AVG.

Optie 6: adequaatheidsbesluiten (art. 45 AVG)

Dit artikel geldt voor Doorgifte: “alle gevallen waarbij een verantwoordelijke een activiteit uitvoert met het doel persoonsgegevens beschikbaar te stellen aan een derde persoon die in een derde land is gevestigd; het beschikbaar maken van persoonsgegevens aan een persoon buiten het rechtsgebied van een van de landen van de Europese Unie.”

Het is voor velen nog onduidelijk wat dat dan precies inhoudt. Wel is duidelijk dat het dan niet zo zeer gaat om een verhouding VV en V, maar om een volgende stap in het (productie-)proces; het beschikbaar stellen van informatie. Hoe dan ook: de EU-commissie zal zo’n besluit moeten nemen. Voorlopig zijn er nog geen besluiten.

Optie 7: passende waarborgen (art. 46 AVG)

Voor passende waarborgen… Tja. Een beetje een een escape voor optie 6. Ook hier gaat het om doorgifte van persoonsgegevens. Belangrijk daarin is dat, naast andere maatregelen, er een juridische binden en afdwingbaar instrument tussen overheidsinstanties (NL en UK) komt. Nu ja, laat uw fantasie de vrije loop…

Conclusie.

Er is eigenlijk maar een praktische weg: UK-bedrijven vestigen zich ook in de landen van de EER. Met die bedrijven sluit u, naast een handelsovereenkomst, een vovk af. Voor de UK-bedrijven zal dat aanzienlijk meer kosten met zich mee brengen. Maar ja, dat is de consequentie. Alle andere eisen en opties zijn m.i. onpraktisch.

Afdrukken