Export en import na de Brexit

Mogelijke gevolgen door de  brexit voor doorgifte van persoonsgegevens naar het Verenigd Koninkrijk? Er is een overgangsperiode tot en met 31 december 2020. Voorlopig althans verandert er niets.

Wat gebeurt er  vanaf 1 januari 2021

De doorgifte van persoonsgegevens mag nog in de eerste 4 maanden van 2021 op dezelfde manier gebeuren als dit nu het geval is. Dit werd gestipuleerd in de  brexit-deal van 24 december 2020. Dit kan enkel als het Verenigd Koninkrijk de regels voor de bescherming van persoonsgegevens niet aanpast. Economisch

Deze periode kan eventueel worden verlengd tot 6 maanden en hoe de situatie daarna zal zijn, is nu nog niet bekend en hangt af of er al dan niet door de Europese Commissie een adequaatheidsbesluit werd genomen over de doorgifte van persoonsgegevens naar de UK.



Wat als er een adequaatheidsbesluit word genomen? Zie export UK

Het vrije verkeer van persoonsgegevens naar het Verenigd Koninkrijk kan vrij blijven als de Europese Commissie een adequaatheidsbesluit vaststelt over het passende beschermingsniveau voor de verwerking van persoonsgegevens.

Wat als er geen adequaatheidsbesluit wordt genomen?

Het Verenigd Koninkrijk wordt bij de doorgifte van persoonsgegevens gezien als een derde land, dus een land buiten de EER als de Europese Commissie geen adequaatheidsbesluit genomen heeft.

Dit betekent dat men zich vanaf 1 juli 2021 moet houden aan de GDPR-privacyregels die gelden voor doorgifte van persoonsgegevens naar derde landen. Blijf op de hoogte via het leerplatform.

Welke ondernemingen hebben te maken met de brexit?

Voor alle organisaties die persoonsgegevens verwerken in de Europese Economische Ruimte heeft de brexit gevolgen!

Zoals;

  • een multinational die ook een vestiging heeft in het Verenigd Koninkrijk;
  • een Belgische organisatie die een sociaal secretariaat raadpleegt in het Verenigd Koninkrijk om de lonen te berekenen;
  • een Belgische gemeente die voor de opslag van data een cloudleverancier van het VK contracteert.

Het is van groot belang om na te kijken of de organisatie(s) met wie uw organisatie persoonsgegevens deelt, gevestigd is/zijn in het Verenigd Koninkrijk.

Welke documenten zijn er nodig na de brexit?

  • Er bestaan standaardbepalingen of op voor het doel gemaakte regels voor gegevensbescherming. Voor meer info kan u bij iReto terecht.
  • Er bestaan Gedragscodes of certificeringsmechanismen.
  • Bij internationale organisaties en multinationale bedrijven is er steeds doorgifte van persoonsgegevens tussen de SBU’s zelf en kunnen sommige businessunits zich bevinden buiten de Europese Economische Ruimte (EER). Hiervoor zullen deze organisaties interne gedragscodes opstellen die internationaal “Binding Corporate Rules” of kortweg BCR worden genoemd.
  • Als men persoonsgegevens wil of moet verwerken of doorgeven aan landen zonder het gepaste beschermingsniveau, worden er in de BCR waarborgen vastgelegd om de bescherming van persoonsgegevens te optimaliseren.
  • Een BCR moet steeds goedgekeurd worden door de Europese privacy toezichthouder waarna er door de European Data Protection Board goedkeuring kan gegeven worden. In de BCR moeten alle aspecten in overeenstemming zijn met de Europese Privacywetgeving, de GDPR regels of AVG genoemd.
  • Het kan ook zijn dat er slechts sporadisch persoonsgegevens uitgewisseld worden aan derde landen die onder strikte voorwaarden en bij een hoge uitzondering mogen uitgevoerd worden.

Kunnen wij na de brexit nog gegevens ontvangen vanuit het Verenigd Koninkrijk?

De regering van de UK heeft bevestigd dat het mogelijk blijft om persoonsgegevens uit te wisselen met de EU-lidstaten. Kijk nu

Welke rol zal de ICO of Information Commissioner’s Office hebben?

De ICO blijft de onafhankelijke toezichthoudende instantie met betrekking tot de Britse wetgeving inzake gegevensbescherming.

Tijdens de overgangsperiode zal de ICO deelnemen aan het samenwerkings- en consistentiemechanisme onder de AVG en een leidende toezichthoudende autoriteit blijven.

De Britse regering zal blijven werken aan het onderhouden van nauwe werkrelaties tussen de ICO en de toezichthoudende autoriteiten van de EU zodra de overgangsperiode voorbij is.

Moet er een vertegenwoordiger aangesteld worden?

Als u buiten het VK bent gevestigd en u geen filiaal, kantoor of andere vestiging in het VK heeft en u:

  • goederen of diensten aanbieden aan individuen in het VK; of
  • het gedrag van individuen in het VK volgen,

dan moet u vanaf 1 januari 2021 voldoen aan de Britse GDPR. De Britse GDPR vereist dat u een vertegenwoordiger in het VK aanwijst.

Uw vertegenwoordiger kan een persoon zijn, of een bedrijf of organisatie gevestigd in het VK, en moet u kunnen vertegenwoordigen met betrekking tot uw verplichtingen onder de Britse AVG (bijv. Een advocatenkantoor, adviesbureau of particulier). In de praktijk is de eenvoudigste manier om een vertegenwoordiger aan te stellen een eenvoudig servicecontract.

U moet de vertegenwoordiger schriftelijk machtigen om namens u op te treden met betrekking tot uw naleving van de AVG in het VK en om te communiceren met de ICO en met betrokkenen.

Delen:

Meer berichten

GDPR En Openbaar Bestuur

Inleiding: In het digitale tijdperk waarin we leven, wordt het beheren van persoonsgegevens een steeds grotere uitdaging, vooral voor overheidsinstanties die een

cybersecurity in 2024

Cybersecurity Maatregelen In 2024

Inleiding: Na een uitdagend 2023, waarin zowel op het gebied van cybersecurity als wereldwijd opmerkelijke gebeurtenissen plaatsvonden, richten we nu onze blik

Meer info: