De Brexit nadert dag na dag en alles wijst erop dat het Verenigd Koninkrijk op 1 november 2019 definitief en zonder akkoord de Europese Unie zal verlaten. Persoonsgegevens uitwisselen met het Verenigd Koninkrijk wordt dan plots heel wat moeilijker, zoals we vorig jaar rond deze tijd een eerste keer meldden in een artikel. Vanaf 1 november zal het VK immers als een “derde land” worden beschouwd voor gegevensoverdracht onder GDPR en export van persoonsgegevens naar derde landen is aan strenge voorwaarden onderworpen.
Data export buiten de EU
Persoonsgegevens exporteren buiten de EU is onder GDPR aan zeer strenge voorwaarden onderworpen. In principe kan data export enkel als deze noodzakelijk is én als de verwerkingsverantwoordelijke de nodige garanties heeft dat de betreffende persoonsgegevens op de plaats van ontvangst even veilig bewaard en verwerkt kunnen en zullen worden dan wanneer zij de EU nooit verlaten hadden.
“Data export” is overigens elke situatie waarin persoonsgegevens (zelfs potentieel) toegankelijk gemaakt worden voor een partij buiten de EU: hosting van data op servers buiten de EU, gebruik van een call center buiten de EU, uitwisseling van klantengegevens met een dochtervennootschap buiten de EU, toegang geven tot uw softwaresystemen aan een IT-support afdeling of software developers buiten de EU, als touroperator persoonsgegevens van reizigers doorgeven aan hotels of airlines buiten de EU, …
Voorwaarden voor export van persoonsgegevens
In beginsel is zulke data export enkel mogelijk in één van de volgende gevallen:
De ontvanger bevindt zich in een “veilig land”, op basis van een -zéér korte- limitatieve lijst van de EU (Andorra, Argentinië, Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Zwitserland)
- De ontvanger bevindt zich in de Verenigde Staten EN hij valt enerzijds onder de strenge voorwaarden van het EU-VS privacy shield of het gaat anderzijds om Passenger Name Records doorgegeven aan de United States Bureau of Customs and Border Protection)
- Met de ontvanger werd een Data Export Agreement afgesloten, waarin de door de EU opgestelde standaard clausules inzake databescherming zijn opgenomen. Die standaard clausules zijn een lange lijst verbintenissen die de ontvanger van persoonsgegevens buiten de EU moet aangaan en die ervoor moeten zorgen dat Europese persoonsgegevens buiten de EU adequaat beschermd worden. Let op: de Europese verantwoordelijke voor verwerking van persoonsgegevens die persoonsgegevens doorgeeft buiten de EU op basis van zo’n Data Export Agreement wetende dat de ontvanger in werkelijkheid niet kan voldoen aan zijn beloften op papier, begaat zélf een inbreuk op de GDPR, die tot érg hoge boetes kan leiden. Een DEA is dus géén formaliteit…
- Binnen een groep van vennootschappen werden zogenaamde Binding Corporate Rules opgesteld en die werden vervolgens goedgekeurd door de bevoegde Gegevensbeschermingsautoriteit. Die BCR zijn eigenlijk een “intern reglement” voor verwerking van persoonsgegevens binnen eenzelfde groep van bedrijven.
- Er zijn nog enkele meer exotische opties om alsnog data te exporteren, maar deze komen minder evident in aanmerking (gedragscodes, certificeringsmechanismes, toegestane afwijkingen, …).
Wat nu bij een plotse Brexit?
De European Data Protection Board EDPB had al begin dit jaar een aantal richtlijnen gepubliceerd over omgaan met persoonsgegevens na een no deal Brexit. Diezelfde richtlijnen werden overigens ook overgenomen door de Belgische Gegevensbeschermingsautoriteit.
Eerder deze maand publiceerde de Franse GBA (de “CNIL”) op basis van diezelfde richtlijnen een update. De Brexit komt nu immers wel érg dichtbij en alles wijst erop dat een en ander zonder akkoord zal gebeuren.
De belangrijkste vaststelling is dat het VK vanaf 1 november buiten de EU zal vallen en dus een derde land wordt, maar dat het tegelijk NIET op de lijst met veilige landen staat waarmee data zonder meer uitgewisseld mag worden. Het VK zal wellicht wel een aanvraag kunnen doen op toch op die lijst te belanden, maar de goedkeuring daarvan zal maanden op zich laten wachten.
In afwachting kan uitwisseling van persoonsgegevens met het VK in se enkel op basis van Binding Corporate Rules of op basis van de standaard contractclausules van de EU.
Hoe ga je concreet te werk?
De eerder genoemde richtlijnen en de recente update van de CNIL bevelen bedrijven aan om vijf stappen na te leven om ervoor te zorgen dat ze ook na een Brexit GDPR compliant blijven werken:
- Identificeer in je bedrijf alle situaties van data export naar het VK.
- Bekijk hoe je best kan zorgen dat die conform de wet gebeurt (Binding Corporate Rules? Standard Contractual Clauses?).
- Implementeer de juiste optie vóór 1 november 2019.
- Pas alle interne policies én lopende contracten aan in het kader van data export naar het VK
- Pas je privacy policies aan om betrokkenen correct te informeren over het feit dat hun data de EU verlaten (naar het VK) en op welke gronden je gezorgd hebt dat dit veilig verloopt.