De Brexit en de AVG: mogen persoonsgegevens nog in het VK worden verwerkt?

 In Blogs

De Brexit; het houdt ons allemaal bezig. Vandaag wordt in het Verenigd Koninkrijk weer verder gedebatteerd en gestemd. Gaat de deal van May wel of niet door? Het is koffie dik kijken, maar de kans lijkt steeds groter dat er geen deal komt. Dan zal er een plan B moeten komen. Er wordt overal over gespeculeerd, zelfs over de vraag of de Brexit nog wel doorgaat.

Het enige dat ik zeker weet, is dat er veel onzekerheid is. Die onzekerheid strekt zich uit dat alle juridische vraagstukken die te maken hebben met het vrije verkeer van en naar het VK. Zowel op het gebied van migratie, handel, als het verwerken van persoonsgegevens. In dit blog besteed ik aandacht aan dit laatste stuk: wat is de impact van de Brexit op de verwerking van persoonsgegevens in het VK?

Staan de persoonsgegevens die u verwerkt op een server in het VK? Of is een verwerker van u gevestigd in het VK? Of heeft die verwerkers in het VK? Het antwoord op deze vragen hoort u op grond van de AVG al te weten. De Brexit zorgt er echter voor dat de antwoorden op deze vragen nog belangrijker zijn. Want bij een no-deal Brexit is het VK straks geen EU-lid meer maar waarschijnlijk derde land, ook in de zin van de AVG. De vraag is daarbij dus of het VK wel onderdeel blijft van de Europese Economische Ruimte (EER).

Ondanks de onzekerheid, hoeft u namelijk niet achterover te gaan leunen en af te wachten. Er is een heel aantal dingen dat u nu zelf al kunt doen. Hieronder vindt u een stappenplan.

1. Inventariseer Als u nog geen privacy inventarisatie heeft gedaan, moet u dit alsnog doen. Een onderdeel daarvan is in kaart brengen met welke verwerkers u te maken heeft, waar deze gevestigd zijn en waar de persoonsgegevens die u verwerkt of laat verwerken worden verwerkt. Alleen dan weet u wat de impact is van de Brexit op dit onderdeel in uw organisatie en hoe u dit moet aanpakken.

2. Bepaal Bepaal welk instrument u moet gebruiken om persoonsgegevens te mogen blijven verwerken in het VK na een no-deal Brexit. Dat kunnen Binding Corporate Rules zijn, of gedragscodes. Een andere optie is het gebruik van standaardbepalingen voor de gegevensbescherming. Hiervoor gelden wel een heel aantal eisen, laat u dus goed adviseren!

3. Intern Zorg ervoor dat in uw interne privacybeleid duidelijk wordt gemaakt dat persoonsgegevens in het VK worden verwerkt en wat de nieuwe werkwijze intern is. Communiceer ook intern dat de regels zijn veranderd en wat de nieuwe werkwijze is.

4. Extern Zorg ervoor dat uw externe privacyverklaring (bijvoorbeeld op uw website) is geupdate naar de nieuwe situatie. Let u hierbij wel goed op, lang niet alle informatie hoeft u extern te delen en in veel gevallen wilt u dit ook helemaal niet. Zorg er dus voor dat uw externe privacy statement voldoet aan de AVG vereisten, maar geef geen onnodige en gevoelige informatie prijs.

5. Maak gereed Zorg ervoor dat u deze stappen zo snel mogelijk, maar voor 12 april 2019 gereed heeft.

Ik neem dit traject graag voor u uit handen. Neem vrijblijvend contact met mij op over de impact van de Brexit op uw organisatie, ook ten aanzien van de bescherming van persoonsgegevens. Ik heb ruime ervaring met het uitvoeren van privacy impact assessments en het opstellen/aanpassen van een intern privacybeleid of een privacy statement.

Recent Posts

Leave a Comment

verwerkingsregister