Persoonsgegevens uitwisselen met de Britten

Op 31 januari 2020 verliet het Verenigd Koninkrijk (VK) definitief de Europese Unie (EU).  Sindsdien kunnen gegevens niet meer op grond van de Europese wet- en regelgeving uitgewisseld worden. Hoe wordt dit nu dan geregeld en wat betekent dit voor jou?

Persoonsgegevens uitwisselen binnen Europa

Binnen de EU is het niveau van gegevensbescherming gelijk gesteld. De EU wordt gezien als één rechtsgebied. Alle EU-lidstaten dienen zich te houden aan de General Data Protection Regulation (GDPR – in het Nederlands de AVG). 

De GDPR trad in 2018 in werking met als doel om de gaten in nationale privacywetgeving te dichten. In deze verordening zijn onder andere de volgende punten opgenomen:

  • Burgers kunnen makkelijker en sneller toegang tot hun gegevens.
  • “Het recht om vergeten te worden” is een mogelijkheid. Burgers kunnen bedrijven verzoeken om hun gegevens te laten verwijderen. 
  • Burgers krijgen inzicht in hoe hun gegevens gebruikt worden. 
  • Gegevens moeten makkelijker geanonimiseerd worden. 
  • Bij grote bedrijven moet er een toezichthouder worden aangesteld. 

Deze punten gelden niet alleen voor digitale persoonsgegevens, maar voor alle soorten persoonsgegevens. De GDPR dient voor de bescherming van persoonsgegevens van de burgers uit de EU. Gegevens tussen Europese landen kunnen “vrijuit” uitgewisseld worden, mits er voldaan wordt aan de vereisten uit de GDPR. 

De overgangsperiode

Nu het VK uit de EU is gestapt, is de GDPR niet meer van toepassing op gegevensuitwisseling. De periode tussen 1 februari 2020 en 1 januari 2021 werd bestempeld als overgangsperiode. Er is in deze periode dan ook nog niks veranderd. Deze periode is gebruikt om afspraken te maken tussen de EU en het VK. Op 24 december 2020 is er een akkoord bereikt over de volgende belangen: 

  • Reizen en grenscontroles bij reizen van of naar het VK.
  • Handel in goederen.
  • Veiligheid, zoals afspraken over samenwerking bij terrorisme en criminaliteit.

Ook met betrekking tot de uitwisseling van persoonsgegevens moesten er nieuwe afspraken worden gemaakt. Het VK heeft vanaf 1 januari 2021 namelijk de status van derde-land, omdat zij geen lid meer is van de EU. Dit betekent dat de doorgifte van persoonsgegevens naar het VK alleen onder extra voorwaarden mogelijk is. 

Een van die eventueel extra voorwaarden is dat er gebruikt gemaakt moet worden van goedgekeurde model exportcontracten. Dit is een zogenoemde verwerkersovereenkomst, waarmee je kunt verantwoorden dat je de persoonsgegevens mag verwerken en op welke manier. 

De overgangsperiode voor de doorvoer tot van persoonsgegevens was verlengd tot 1 juli 2021. In deze periode is er nog niks veranderd. 

Adequaatheidsbesluit 

Echter, er is een manier waardoor er in principe weinig verandert aan het uitwisselen van persoonsgegevens. Er kan namelijk een adequaatheidsbesluit ten aanzien van het VK worden genomen. De periode van 1 januari 2021 tot 1 juli 2021 is bedoeld om de EU in de gelegenheid te stellen om een adequaatheidsbesluit te nemen. Een adequaatheidsbesluit houdt in dat het VK een gelijkwaardig beschermingsniveau biedt als de EU. 

Vanaf 1 juli 2021

Op 21 mei 2021 heeft het Europees Parlement de Europese Commissie verzocht om ondernemingen in de EU zekerheid te bieden dat het adequaatheidsbesluit een rechtsgrondslag biedt voor de doorgifte van persoonsgegevens. Inmiddels heeft de Europese Commissie het adequaatheidsbesluit voor het VK goedgekeurd. Dit betekent dat er in beginsel niks verandert. Het VK biedt alsnog een passend beschermingsniveau voor de uitwisseling van persoonsgegevens.

Voor ondernemingen in de EU betekent dit dat zij zich kunnen beroepen op het adequaatheidsbesluit. Zij hoeven geen gebruik te maken van overeenkomst, maar kunnen ervan uitgaan dat het VK een passend beschermingsniveau biedt. 

Uitwisseling van persoonsgegevens tussen het VK en de EU

De Brexit heeft door een zogenoemd adequaatheidsbesluit weinig invloed op de uitwisseling van persoonsgegevens. De persoonsgegevens mogen tussen het VK en EU worden uitgewisseld, omdat het VK een passend beschermingsniveau biedt. Houd in ieder geval de website van de Autoriteit Persoonsgegevens in de gaten om eventuele verrassingen te voorkomen. 

Let op: afhankelijk van wanneer je dit artikel leest kan deze informatie verouderd zijn. De artikelen op deze website bevatten algemene juridische informatie, maar uitdrukkelijk geen één-op-één advies. Hulp nodig bij jouw specifieke situatie? Neem dan contact met ons op. 

Selene van Ee

Selene van Ee (2000) is een gedreven student HBO-Rechten aan de Hogeschool Leiden. Momenteel zit zij in het derde jaar van de opleiding, waar zij door middel van een stage kennismaakt met de juridische praktijk. Met veel enthousiasme deelt zij graag haar kennis over het recht door te schrijven voor Ladylawyer.nl
Scroll naar top