De kans op een (harde) Brexit neemt met de dag toe, maar wat heeft dat voor gevolgen voor het publieke domein?
Het lijkt er deze keer echt van te komen: 31 oktober 2019, de deadline voor Brexit. De kans dat die zonder deal over het afscheid plaatsvindt, neemt met de dag toe. Niet alleen zetten ondernemingen (in het westen van het land) zich schrap, ook het publieke domein moet zeilen bijzetten in het scenario van een ‘harde’ Brexit.
De Europese Commissie heeft, net als de Nederlandse overheid, een serie noodmaatregelen in gang gezet voor het geval een no-deal Brexit plaatsvindt. Noodmaatregelen over onderwerpen zoals de samenwerking op veiligheid, scheepsinspecties, typegoedkeuringen van auto’s tot landingsrechten voor vliegtuigmaatschappijen. Wat ontbreekt zijn gegevensuitwisselingen. En dat maakt het leven in internationale ketenuitwisselingen interessant.
Veertig jaar Europese integratie levert niet alleen verwevenheid van logistieke ketens, maar ook overheden van lidstaten wisselen steeds meer gegevens uit. Dit speelt op vrijwel alle beleidsterreinen zich af. Denk aan:
- het openstellen van kentekenregisters (EUCARIS);
- uitwisseling van informatie over asielzoekers (DUBLINET);
- de uitwisseling van forensische data (Prüm);
- belastinginformatie (MCAA), deels buiten EU- en meer in OECD-verband.
Adequaatheidsbesluit
In de context van Brexit rijst de vraag: wat gebeurt er als het Verenigd Koninkrijk niet alleen de Europese Unie op 31 oktober verlaat, maar zoals het ernaar uitziet, ook de Europese Economische Ruimte (EER)? De AVG bevat een beginselverbod voor de transfer van persoonsgegevens naar zogenaamde derdelanden (lees: landen buiten de EER). Eén van de uitzonderingen op dat verbod is een zogenaamde adequaatheidsbesluit van de Europese Commissie (dit geldt onder meer voor Zwitserland en Canada). Geen van de afgekondigde noodmaatregelen voor een no-deal Brexit omvat zo’n adequaatheidsbesluit.
Wat te doen?
Het antwoord ‘dat hangt ervan af’ is vaker van toepassing. Voor openbare registers geldt dat zij toegang blijven verlenen voor bevragingen vanuit het Verenigd Koninkrijk. De AVG voorziet die situatie in artikel 49, zij het onder voorwaarden. Voor uitwisselingen in het veiligheidsdomein is de AVG hoe dan ook niet van toepassing, maar de relevante Europese richtlijn (2016/680 EU) die daarop van toepassing is, kent een sterk aan de AVG verwant regime met adequaatheidsbeslissingen en andere uitzonderingen. Eén van de uitzonderingen is ernstig en acuut gevaar. Dat betekent dat in individuele gevallen uitwisseling nog steeds mogelijk is. Stelselmatige uitwisseling zoals bij EUCARIS en Prüm vereisen opnieuw aanvullende waarborgen.
Onder de streep geldt: ofwel per keten afzonderlijke en juridisch bindende afspraken maken voor de meer structurele uitwisselingen van persoonsgegevens met Britse ketenpartners in het Verenigd Koninkrijk, ofwel de uitwisseling staken. Hoe willen ze dergelijke afspraken tot stand brengen? Met een harde deadline op 31 oktober, wordt het een stevige dobber.
Walter van Holst is adviseur bij PBLQ met een focus op gegevensbescherming, privacy, open standaarden en open source in de publieke sector.
“We gaan het regelen. We houden het nog even zoals het was, in afwachting van nadere afspraken.”