Toezichthouders bezorgd over data-uitwisseling met VK

Close-up van de vlaggen van diverse EU-lidstaten

De Autoriteit Persoonsgegevens vindt dat persoonsgegevens in het Verenigd Koninkrijk ook na de Brexit goed beschermd zijn. Tegelijkertijd maakt ze zorgen en vreest ze dat vanuit het Verenigd Koninkrijk gegevens van Europeanen aan landen worden doorgegeven waar databescherming minder goed is geregeld. De European Data Protection Board (EDPB), de overkoepelende organisatie waarin alle nationale toezichthouders zijn verenigd, vraagt aan de Europese Commissie om op te treden.

Dat blijkt uit twee adviezen die de EDPB deze week heeft gepubliceerd, zo schrijft de Autoriteit Persoonsgegevens in een persbericht.

Bescherming persoonsgegevens in Verenigd Koninkrijk goed geregeld

Het Verenigd Koninkrijk stapte op 31 december 2020 definitief uit de Europese Unie. Sindsdien is het land niet langer gebonden aan de Algemene Verordening Gegevensbescherming (AVG) en andere Europese privacywetgeving. Europese bedrijven mogen daarom niet zonder meer persoonsgegevens van Europeanen doorgeven aan bedrijven in het Verenigd Koninkrijk.

Toch zijn de persoonsgegevens van Europese burgers goed beschermd zijn als deze aan het Verenigd Koninkrijk worden doorgegeven, zo schrijft de Autoriteit Persoonsgegevens. Dat komt omdat het Verenigd Koninkrijk Europese privacywetten heeft gekopieerd: de AVG en Richtlijn politie en justitie. Zodoende lijkt het stelsel van gegevensbescherming in het Verenigd Koninkrijk sterk op dat van de EU.

Europese Commissie stelt twee adequaatheidsbesluiten op

Tegelijkertijd maakt de EDPB zich zorgen. De koepelorganisatie is bang dat het Verenigd Koninkrijk als springplank gebruikt wordt om persoonsgegevens van Europese burgers door te sluizen naar landen waar de databescherming minder goed op orde is. Zoals de Verenigde Staten. De EDPB heeft de Europese Commissie op dit punt om opheldering gevraagd.

De Europese Commissie heeft twee zogeheten adequaatheidsbesluiten voorgesteld om doorgifte van persoonsgegevens naar het Verenigd Koninkrijk weer toe te staan. Een adequaatheidsbesluit is een besluit waarin het dagelijks bestuur van de EU vaststelt dat een land een deugdelijk beschermingsniveau heeft voor persoonsgegevens. Dat betekent dat er geen bezwaren zijn voor bedrijven die in de EU-lidstaten actief zijn om persoonsgegevens door te sluizen naar het Verenigd Koninkrijk.

Knoop is nog niet doorgehakt

De adequaatheidsbesluiten van de Europese Commissie gelden voor een periode van vier jaar. Mocht het Verenigd Koninkrijk besluiten om tussentijds maatregelen te nemen die het beschermingsniveau van Europese burgers verlagen, dan kan de Commissie niet ingrijpen. De EDPB verzoekt de Europese Commissie om, mocht dat nodig zijn, tussentijds bij te sturen.

De Autoriteit Persoonsgegevens zegt dat de Europese Commissie verplicht is om aan de EDPB advies te vragen voor adequaatheidsbesluiten. Ze is echter niet verplicht om deze adviezen op te volgen. Het is niet bekend wanneer de Europese Commissie besluit of de adequaatheidsbesluiten worden aangenomen, en of Europese bedrijven persoonsgegevens mogen doorgeven aan bedrijven in het Verenigd Koninkrijk.

Zo is de uitwisseling van persoonsgegevens na 1 juli geregeld

Op dit moment is het zo dat de Britten profiteren van een overgangsregeling voor de uitgifte van persoonsgegevens. Dat houdt in dat de ‘oude’ en bekende Europese privacyregels van kracht zijn. Deze periode loopt tot en met eind april. De overgangsperiode kan met nog eens twee maanden verlengd worden, maar daar is goedkeuring van de EU en het Verenigd Koninkrijk nodig.

De Autoriteit Persoonsgegevens schreef onlangs hoe het doorgeven van persoonsgegevens aan het Verenigd Koninkrijk na 1 juli 2021 is geregeld. In essentie geldt dat als de Europese Commissie niet vóór eind juni een adequaatheidsbesluit neemt, het Verenigd Koninkrijk als een land buiten de EU wordt beschouwd. Dan mogen persoonsgegevens alleen uitgewisseld worden als het land in kwestie een ‘passend beschermingsniveau’ heeft. Je leest er alles over in ons artikel ‘Zo is de uitwisseling van persoonsgegevens geregeld in de Brexit-deal’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen