Onze gemeente heeft delen van haar administratie, waarin ook persoonsgegevens zijn verwerkt, ondergebracht bij een databedrijf dat is gevestigd in het VK. Het databedrijf heeft aangegeven dat het voldoet aan de voorwaarden van de Algemene verordening gegevensbescherming. Kan de gemeente ervan uitgaan dat het verwerken van persoonsgegevens bij het databedrijf in het VK ‘AVG-proof’ blijft, ondanks dat het VK geen EU-lidstaat meer is? Wat is hierover afgesproken in de nieuwe EU-VK handels- en samenwerkingsovereenkomst?
Antwoord in het kort
Nee, nu het VK een derde land is geworden kan de gemeente hier niet zonder meer vanuit gaan. Sinds 1 januari 2021 gold er een tijdelijke overbruggingsperiode van vier maanden voor de Brexit, die met twee maanden verlengd kon worden. Dit hield in dat de AVG gedurende deze periode op dezelfde manier van toepassing was voor het VK als voor EU-lidstaten. Voordat deze overbruggingsperiode op 30 juni 2021 is verlopen, heeft de Europese Commissie twee adequaatheidsbesluiten aangenomen voor het VK. De Commissie zegt dat het beschermingsniveau van persoonsgegevens in het VK gelijk is aan het niveau dat door EU-wetgeving wordt gehanteerd. Hierdoor kunnen persoonsgegevens vrij worden doorgegeven tussen de EU en het VK.
Verwerking van persoonsgegevens volgens de AVG
Vanaf 25 mei 2018 dienen onder andere decentrale overheden de Algemene verordening gegevensbescherming (AVG) toe te passen. In de AVG staan persoonsgegevens en de verwerking daarvan centraal. De verwerking van gegevens die geen persoonsgegevens zijn, valt buiten de reikwijdte van de AVG. Verwerking in de context van de AVG is een breed begrip. Onder andere het opslaan van persoonsgegevens wordt als een verwerking gezien. Wanneer de gemeente in haar administratie persoonsgegevens opslaat, zal zij dus moeten voldoen aan de verplichtingen van de AVG.
De AVG heeft een territoriaal toepassingsgebied (art. 3 AVG). Dit betekent dat de verordening van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de gehele EU, ongeacht of de verwerking in de EU plaatsvindt. Wanneer de persoonsgegevens uit de administratie van de gemeente worden verwerkt in een andere EU-lidstaat of derde land zal ook moeten worden voldaan aan de voorwaarden van de AVG om deze persoonsgegevens geoorloofd te verwerken. Meer informatie over het toepassingsgebied vindt u in de Richtsnoeren over het territoriale toepassingsgebied van de AVG die door het European Data Protection Board (EDPB) zijn gepubliceerd.
De AVG en het VK tijdens de overbruggingsperiode
Om te voorkomen dat per 1 januari onduidelijkheid zou ontstaan over het niveau van gegevensbescherming hebben de EU en het VK afspraken gemaakt over de samenwerking in de handels- en samenwerkingsovereenkomst. Hierin is vastgesteld dat er vanaf 1 januari 2021 voor vier maanden een tijdelijk regime geldt, dat eventueel met twee maanden kan worden verlengd (artikel FINPROV.10A lid 4). Dit tijdelijk regime moet ervoor zorgen dat de doorgifte van persoonsgegevens tussen de EU en het VK tijdelijk mogelijk blijft. Gedurende deze overbruggingsperiode blijft de AVG op eenzelfde manier van toepassing op het VK als voor EU-lidstaten (artikel FINPROV.10A lid 1). Wanneer persoonsgegevens tijdens deze periode worden verwerkt in het VK, dan zal dit dus onder dezelfde voorwaarden mogelijk blijven als voor de Brexit. Deze overbruggingsperiode was afgelopen op 30 juni 2021.
De AVG en het VK na de overbruggingsperiode
Doordat het VK uit de EU is getreden wordt het VK binnen het kader van de AVG sinds het einde van de overbruggingsperiode gezien als een ‘derde land’. Gegevensstromen houden echter niet zomaar op bij de grenzen van de EU. Er moet ook rekening worden gehouden met de AVG wanneer decentrale overheden persoonsgegevens laten verwerken door organisaties buiten de EU.
Dit betekent dat doorgifte van persoonsgegevens aan het VK als derde land alleen onder bepaalde voorwaarden mogelijk is.
a) Doorgifte op basis van adequaatheidsbesluiten
Doorgifte van persoonsgegevens aan een derde land is toegestaan wanneer de Commissie in een adequaatheidsbesluit vaststelt dat het betreffende derde land, of één of meerdere sectoren van dat land, een passend beschermingsniveau van de verwerking van persoonsgegevens biedt (art. 45 AVG). In dergelijke gevallen is er geen specifieke toestemming nodig voor de doorgifte. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.
De Commissie heeft op 28 juni 2021 twee adequaatheidsbesluiten aangenomen voor het VK. Hierin is afgesproken dat het gegevensbeschermingssysteem van het VK gebaseerd blijft op dezelfde regels die van toepassing waren toen het VK nog een EU-lidstaat was. Daarnaast moet een overheidsinstantie in het VK voorafgaand toestemming vragen aan een onafhankelijke rechterlijke instantie voordat het toegang krijgt tot EU-persoonsgegevens om redenen van nationale veiligheid. De twee adequaatheidsbesluiten treden direct in werking. De duur van de besluiten is beperkt tot vier jaar. Na die vier jaar kunnen de adequaatheidsbesluiten worden verlengd, maar mocht het VK tussentijds de databeschermingsregels veranderen kan de Commissie zich nog bedenken.
b) Doorgifte indien er geen adequaatheidsbesluit wordt genomen
Indien de Commissie voor het aflopen van de overbruggingsperiode geen adequaatheidsbesluit ten aanzien van het VK had genomen, dan had de gemeente passende waarborgen moeten treffen voor doorgiften en verwerkingen naar het databedrijf. Deze passende waarborgen moeten een adequaat beschermingsniveau verzekeren. Daarnaast moeten de betrokkenen, waarvan de persoonsgegevens worden verwerkt, over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. In art. 46 AVG worden deze passende waarborgen genoemd, zoals standaardcontractbepalingen of bindende bedrijfsvoorschriften die zijn goedgekeurd door de Autoriteit Persoonsgegevens (AP) (art. 47 AVG).
Daarnaast dient de gemeente in zo’n geval inzichtelijk te maken dat persoonsgegevens worden doorgegeven naar een derde land. De gemeente dient dit bijvoorbeeld aan te geven in het register van verwerkingen en de betrokkene hier over te informeren via de privacyverklaring.
Wanneer het niet mogelijk is om met de verwerker in het derde land passende waarborgen te treffen, dan zijn er in specifieke omstandigheden enkele uitzonderingen mogelijk waardoor verwerking van persoonsgegevens in een derde land alsnog geoorloofd is. Alle geoorloofde uitzonderingen zijn opgesteld in art. 49 AVG. Volgens lid 2 van dit artikel is het vereist dat de AP wordt geïnformeerd wanneer er van een dergelijke uitzondering gebruik wordt gemaakt.
Aanbevelingen voor doorgifte
Om hulp te bieden bij veilige doorgifte van persoonsgegevens aan derde landen heeft het EDPB aanbevelingen opgesteld. Hierin worden verschillende maatregelen genoemd die een aanvulling zijn op de passende waarborgen uit de AVG. Sinds de Schrems II-uitspraak moet per geval bekeken worden of een adequaat beschermingsniveau wordt geboden. Ontoereikende bescherming kan soms met behulp van aanvullende maatregelen worden opgelost.
Brexit Impact Scan voor overheden
Benieuwd wat het nieuwe EU-VK partnerschap verder voor uw organisatie betekent? De Brexit Impact Scan voor overheden is geactualiseerd. Met behulp van de impactscan inventariseert u of uw overheidsorganisatie al rekening houdt met de nieuwe afspraken tussen het VK en de EU en de eventuele gevolgen, bijvoorbeeld op het gebied van ICT-diensten. Kijk voor meer informatie ook op het Brexit-loket. Mocht u specifieke vragen hebben over de gevolgen van het nieuwe partnerschap, dan kunt u contact opnemen met onze helpdesk.
Meer informatie
EU-UK Trade and Cooperation Agreement, Europese Commissie
Brexit Impact Scan voor overheden, Kenniscentrum Europa Decentraal
Brexit-loket voor decentrale overheden, Kenniscentrum Europa Decentraal
De Algemene verordening gegevensbescherming (AVG), Kenniscentrum Europa Decentraal
Gegevensuitwisseling met derde landen, Kenniscentrum Europa Decentraal