De eerste week zonder Engeland in de EU is voorbij. De overgangsperiode van elf maanden is ingegaan en er zal in eerste instantie weinig veranderen tot 1 januari 2021. Britse burgers kunnen normaal in en uit de EU reizen, werknemers hebben nog steeds de vrijheid van verkeer en de handel tussen de EU en het Verenigd Koninkrijk (VK) kan gewoon doorgaan zonder extra controles.

Ook met betrekking tot de bescherming van persoonsgegevens blijft de situatie voorlopig ongewijzigd. Er is dus geen overdrachtsmechanisme nodig op grond van hoofdstuk V van de AVG. In dit hoofdstuk staat namelijk: “Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.”

Elf maanden
Hoewel we nog steeds alleen maar kunnen speculeren over hoe de uiteindelijke Brexit-deal eruit zal zien, hebben organisaties voor nu tenminste de zekerheid dat het Verenigd Koninkrijk de EU verlaat. En we hebben elf maanden om ons daarop voor te bereiden. Gedurende deze tijd zal het VK zich nog steeds houden aan de wet- en regelgeving van de EU, maar zal het niet de gelegenheid hebben om regels te wijzigen of nieuwe te maken of om hierover te stemmen.

Een goede voorbereiding is het halve werk
Maar hoewel er geen onmiddellijke wijzigingen zullen zijn, zal het wettelijke kader voor de overdracht van persoonsgegevens van organisaties in de EU naar organisaties in Engeland wel gaan veranderen. Welke voorbereidingen kun je als bedrijf dan de komende elf maanden alvast treffen?

Stap 1 – Breng je datastromen in kaart
Check de huidige situatie rondom de persoonsgegevens in je organisatie. Stuur je momenteel persoonsgegevens vanuit de EU naar Engeland? Of hebben bedrijven vanuit Engeland toegang tot deze informatie? Denk hierbij ook aan het versturen van back-ups naar een datacenter in Engeland! Het is handig om de check te starten vanuit je verwerkersregister. Heb je nog geen verwerkersregister? Dan is dit een mooi moment om hiermee te beginnen. Dat is gelijk je eerste stap naar AVG-compliance.

Stap 2 – ‘Legaliseer’ gegevensuitwisseling naar Verenigd Koninkrijk
Als je na het in kaart brengen van de datastromen tot de conclusie komt dat er gegevens van jouw organisatie in Engeland zijn of dat organisaties vanuit Engeland toegang hebben tot jouw gegevens, dan is het tijd om deze te ‘legaliseren’. De meest gebruikelijke manier is het ondertekenen van de standaardcontractbepalingen voor doorgifte buiten de EU, die door de Europese Commissie zijn gepubliceerd. Deze zogeheten EU Modelclausules moeten de ‘verzenders’ (partijen in de EU) en ‘ontvangers’ (partijen buiten de EU) samen ondertekenen. Het doel van de EU Modelclausules is dat de ontvangende partij (buiten de EU) zich contractueel verbindt aan hetzelfde beschermingsniveau als de AVG. Op deze manier belooft de ontvanger zich te houden aan de AVG, zodat het veilig genoeg is om de persoonsgegevens buiten de EU door te geven.

De EU Modelclausules vind je op de website van de Europese Commissie. Ze stammen weliswaar uit de tijd van vóór de AVG, maar zijn niet aangepast en kunnen dus nog steeds worden gebruikt. En hoewel het nu dus nog gewoon veilig is om persoonsgegevens naar het VK door te geven, moet dit na de overgangsperiode contractueel worden bevestigd met de EU Modelclausules. Wel zo handig om dit nu alvast te regelen.

Heeft u vragen over het in kaart brengen van datastromen, de impact of de invulling van ISO27001 of de rol van Functionaris Gegevensbescherming? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.