Europa legt het probleem onder de AVG bij een no-dealBrexit op het bord van het bedrijfsleven. Dat had anders gekund.
De toelichting onlangs van de Europese privacy-toezichthouders (de European Data Protection Board, “EDPB”) over ‘de juiste naleving van de privacyregels bij een vertrek van het Verenigd Koninkrijk’ is weer een mooi staaltje van Europa op z’n smalst. Op LinkedIn las ik zelfs het volgende commentaar op de toelichting: “absoluut waardeloos”.
Ik moet bekennen: ik kan me wel in het commentaar vinden. De toelichting schetst slechts zeer globaal de mogelijkheden bij een no-dealBrexit. En welke mogelijkheid bij jou past, moet je zelf maar uitzoeken. Daarmee legt Europa het probleem onder de AVG bij een no-dealBrexit op het bord van het bedrijfsleven. Nog daargelaten dat er niet of nauwelijks voldoende tijd is om één van die mogelijkheden sowieso nog voor 30 maart 00:00 uur door te voeren.
Wat is ook alweer het probleem? Als het Verenigd Koninkrijk na de Brexit geen onderdeel meer is van de Europese Unie, krijgt het land een andere status: het wordt een zogenaamd ‘derde’ land. En persoonsgegevens kunnen niet zomaar naar zo’n ‘derde’ land worden doorgegeven.
Terug naar de toelichting. De onofficiële Nederlandse vertaling spreekt overigens van ‘instructies’. Je zou bijna denken dat het Freudiaans is. De toelichting adviseert letterlijk het volgende stappenplan:
1. “Vaststellen bij welke verwerkingsactiviteiten er persoonsgegevens aan het VK worden doorgegeven;
2. Bepalen welk instrument voor de doorgifte van persoonsgegevens in uw situatie van toepassing is;
3. Ervoor zorgen dat het gekozen instrument voor de doorgifte van persoonsgegevens op 30 maart 2019 klaar is voor gebruik;
4. In uw interne documenten aangeven dat er persoonsgegevens aan het VK worden doorgegeven; en
5. Uw privacyverklaring aanpassen om de lezers van de nieuwe situatie op de hoogte te stellen”.
De crux zit ‘m natuurlijk in stap 2: het kiezen van het juiste instrument. De toelichting somt die mogelijkheden op:
– Het hanteren van de zogenaamde Standard Contractual Clauses;
– Het hanteren van ‘Binding Corporate Rules’ (de bindende bedrijfsvoorschriften, kortweg BCR);
– Het hanteren van gedragscodes of certificeringsmechanismen; of
– Afwijkingen.
Ik begin met de laatste twee. Uit de toelichting blijkt dat je hier vrijwel zeker niks mee kan. Over de gedragscodes of certificeringsmechanismen wordt letterlijk gesteld: “deze gereedschappen zijn nieuw binnen de AVG en het EDPB werkt aan richtsnoeren om meer uitleg te geven over de geharmoniseerde voorwaarden en procedure om deze gereedschappen te gebruiken.”
En over de afwijkingen schrijft de toelichting dat deze “daarom restrictief [moeten] worden geïnterpreteerd en hebben hoofdzakelijk betrekking op verwerkingsactiviteiten die incidenteel en niet repetitief zijn.”
Dan de BCR. Deze kunnen worden toegepast door een groep van gelieerde ondernemingen. Daar heb je als MKB dus niet zoveel aan. Maar ben je een multinational, dan zijn de BCR ook nog een flinke uitdaging. Uit de toelichting: “maakt u op dit moment geen gebruik van BCRs en wilt u deze invoeren, dan moeten deze worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit, na advies van de EDPB.”
De laatste, en meest voor de hand liggende, mogelijkheid betreft dan de Standard Contractual Clauses (SCC). Dit zijn door de Europese Commissie uitgegeven standaardcontracten voor doorgifte van persoonsgegevens buiten Europa. Maar hier is een uitdaging dat deze bepalingen ongewijzigd dienen te worden ondertekend. Ook niet onbelangrijk: er dient ook uitvoering aan de SCC te worden gegeven. En ik verzeker u: de inhoud van de SCC is bepaald niet mals. Daarnaast voorzien de SCC niet in alle situaties. Zo bestaan er bijvoorbeeld geen SCC voor een doorgifte tussen verwerkers.
De ongetwijfeld goedbedoelde toelichting biedt dus eigenlijk geen soelaas voor het bedrijfsleven. En dat is ronduit jammer. Temeer nu Europa het wel degelijk zelf kan oplossen, in plaats van het bedrijfsleven zelf de kastanjes uit het vuur te laten halen.
De eerste optie: een overgangsregeling. Nederland ICT riep hiertoe onlangs terecht op om het bedrijfsleven zodoende de tijd te gunnen zich aan te passen aan de nieuwe situatie. De tweede optie: een adequaatheidsbesluit. Dit betreft een besluit van de Europese Commissie, op grond van artikel 45 van de AVG, dat het betreffende land een passend beschermingsniveau waarborgt.
Ik vrees dat het ijdele hoop is te denken dat onze eigen Autoriteit Persoonsgegevens (AP) nog met een oplossing komt. Op haar website valt te lezen: “de AP heeft over de mogelijke gevolgen van de Brexit nauw contact met haar Europese collega-toezichthouders. Binnen de samenwerking van de EDPB bespreken zij diverse scenario’s. Waar mogelijk zal de EDPB bij nieuwe ontwikkelingen nadere informatie geven.”
Het is te hopen dat het niet tot een no-dealBrexit zal komen, maar ik vrees dat ook deze hoop ijdel is.
Menno Weij is Legal Counsel bij BDO