Column


Column Friederike van der Jagt

Brexit: tijd voor een EU-UK Privacy Shield?

Het leek allemaal zo mooi, na jaren onderhandelen was het eindelijk zo ver: de nieuwe Privacyverordening werd op 24 mei 2016 van kracht en iedereen kon zich druk gaan maken over de implementatie ervan. Maar ja, toen kwam nog geen maand later de brexit. Hoe moet het nu verder als je als bedrijf ook in het Verenigd Koninkrijk gevestigd bent? Toch maar voorbereiden op de Privacyverordening? En welke gevolgen heeft de brexit voor het uitwisselen van persoonsgegevens met het VK?

De Digital Single Market
De Privacyverordening maakt deel uit van een groter project van de EU, de Digital Single Market (DSM). Met dit project wil de EU ervoor zorgen dat de grensoverschrijdende Europese online markt versterkt wordt. In het kader van de DSM worden bijvoorbeeld ook de e-commerceregels en de wetgeving omtrent cookies en spam de komende tijd weer onder handen genomen. Alles om ervoor te zorgen dat Europese burgers en bedrijven niet worden gehinderd door verschillende regels in de verschillende lidstaten en zo de voordelen kunnen plukken van het lidmaatschap van de Europese Unie.

Bij de Privacyverordening was de harmonisatie van de regels al vanaf het begin lastig. Omdat de lidstaten bijvoorbeeld op het gebied van politie en justitie niet alle bevoegdheden aan de Europese Unie hebben overgedragen, werd een aparte richtlijn voor de verwerking van persoonsgegevens door politie en justitie aangenomen. Opvallend is daarnaast dat de EU-instellingen, die zelf ook bergen persoonsgegevens verwerken, van de toepasselijkheid van de Privacyverordening zijn uitgezonderd.

Biedt het VK een passend beschermingsniveau?
Door de brexit wordt het Europese privacylandschap er niet duidelijker op. Wanneer het VK geen lid meer is van de Europese Unie, kwalificeert het land ineens als een 'derde land', waarnaar niet zonder meer EU-persoonsgegevens mogen worden doorgegeven. Immers, er moet dan eerst worden aangetoond dat het VK een passend beschermingsniveau biedt voor de verwerking van persoonsgegevens. Om dit op te lossen zou het VK ervoor kunnen kiezen om de Europese Commissie te vragen een ‘adequacy’-beslissing te nemen. De Europese Commissie onderzoekt dan of het VK voldoende privacywaarborgen biedt, net als nu gebeurt in het kader van het EU-U.S. Privacy Shield. Maar zoals u in mijn vorige columns heeft kunnen lezen, gaat een dergelijke beslissing niet over een nacht ijs…

Uiteindelijk zullen de Britten moeten aantonen dat de mate van privacybescherming in het VK in grote lijnen overeenkomt met het niveau van privacybescherming binnen de EU. Hierdoor lijkt het VK eigenlijk gedwongen te worden om de nieuwe Privacyverordening grotendeels in de eigen wetgeving te implementeren. De vraag is vooral wanneer iets als niet ‘passend’ wordt aangemerkt. Stel het VK kiest ervoor om lagere sancties in te voeren dan de hoge boetes onder de Privacyverordening. Is daarmee het niveau van privacybescherming nog wel passend? En wat te doen met de veelbekritiseerde Investigatory Powers Bill, het wetsvoorstel dat de Britse inlichtingen- en veiligheidsdiensten verregaande bevoegdheden geeft voor massasurveillance? Als we dat van de US niet accepteren – dit is c.q. was immers het belangrijkste pijnpunt in de onderhandelingen tussen de EU en de US over het EU-U.S. Privacy Shield – accepteren wij dit dan wel van de Britten? Een andere optie is dat de Britten lid worden van de Europese Economische Ruimte en zo alsnog onder de Privacyverordening vallen. Mocht dat niet gebeuren en mocht een adequacy-beslissing te lang op zich laten wachten of geheel uitblijven, dan rest bedrijven veelal niets anders dan de printer aan te zetten en stapels Standard Contractual Clauses te gaan printen (die momenteel ook onder vuur liggen) of om alle betrokkenen om toestemming voor de doorgifte van hun persoonsgegevens te vragen…

Een EU-UK Privacy Shield?
Het is de vraag hoe snel het VK daadwerkelijk uit de EU zal treden. Met het huidige onzekere klimaat is de verwachting dat Britse bedrijven veelal zullen doorgaan met hun voorbereiding op de Privacyverordening. Hierbij is van belang om te beseffen dat de Privacyverordening ook op hen van toepassing is zodra zij het gedrag van Europese burgers monitoren of hen goederen of diensten aanbieden, hetgeen veelal het geval zal zijn. In de tussentijd kan de Europese Commissie dan hopelijk eerst het EU-U.S. Privacy Shield tot een goed einde brengen. Naar verwachting wordt daar deze week meer over bekend, nu is uitgelekt dat met de VS overeenstemming zou zijn bereikt over een aantal belangrijke wijzigingen, met name op het gebied van massasurveillance. Daarna op naar een EU-UK Privacy Shield? We zullen zien!


Lees meer over