Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met bedrijven in het Verenigd Koninkrijk (VK), wacht een onzekere toekomst. De plannen van de Britse regering om de bestaande privacywetgeving te veranderen, krijgen mogelijk gevolgen voor de doorgifte van persoonsgegevens naar het VK. Dit stelt privacy-expert Anne Zwierstra, adviseur bij informatiebeveiligings- en privacybedrijf Hodari in Warmond.
De regering in Londen broedt op aanpassingen van bestaande wetgeving, die is gebaseerd op de GDPR (General Data Protection Regulation, ofwel Algemene verordening gegevensbescherming AVG). Het plan is onder meer om de privacywetgeving minder omslachtig te maken: allerlei administratieve lasten en overbodig papierwerk moeten verdwijnen.
De zogeheten Data Reform Bill zou het voor Britse bedrijven en wetenschappelijke instellingen gemakkelijker maken persoonsgegevens te ontsluiten. De regels rond onderzoek worden vereenvoudigd. Ook wordt gedacht aan ‘smart data schemes’ waarmee het mkb en particulieren hun persoonsgegevens beter kunnen beheren.
Averechts
Maar voor de bedrijven uit de EU-lidstaten kan de aanpassing van de bestaande wetgeving averechtse gevolgen hebben, denkt Zwierstra. De administratieve lastendruk neemt toe als Nederlandse en Belgische bedrijven die persoonsgegevens uitwisselen met het VK, extra controles moeten doen.
Tot nog toe was dat niet het geval. Toen het VK uit de EU trad, viel dat land niet meer onder het toepassingsgebied van de GDPR. Dit leidde ertoe dat de EU de Britse versie onder de loep moest nemen. De afwijkingen waren zo gering dat de EU voor het VK een zogenoemd adequaatheidsbesluit afgaf.
Op losse schroeven
Maar dat kan anders worden, waarschuwt Zwierstra. ‘Hoewel er nog veel onduidelijkheid bestaat over de implicaties van de Data Reform Bill, komt het huidige adequaatheidsbesluit mogelijk op losse schroeven te staan.’ Als zo’n besluit ontbreekt, wordt het lastiger om persoonsgegevens naar het VK te sturen en daar verwerkingen te doen. ‘Dan kan een soortgelijke situatie ontstaan zoals nu met de Verenigde Staten.’
Een en ander hangt af van de uiteindelijke inhoud die de nieuwe Britse wetgeving krijgt. Nu lijken de veranderingen nog mee te vallen, uitgaande van de huidige, beperkte informatie. Maar als de veranderingen verder gaan, breekt een periode van onzekerheid aan.
Onzeker
Volgens Alex van der Wolk, specialist op gebied van data-bescherming en it-wetgeving bij het internationale advocatenkantoor Morrison en Foerster in Brussel, is niet alleen onzeker wat er straks gaat gebeuren maar ook wanneer. Lange tijd kan een onzekere situatie ontstaan.
‘De kern is in hoeverre er druk komt op het adequaatheidsbesluit’, aldus Van der Wolk. De Europese Commissie evalueert periodiek of het VK qua privacywetgeving dicht bij de GDPR blijft. Eind juni 2025 loopt het huidige besluit af, tenzij de Europese Commissie dit vernieuwt.
Oordeel van Europese Commissie
Volgens de Britse regering brengt het nieuwe voorstel tot aanpassing van de wet het adequaatheidsbesluit niet in gevaar. Maar de Europese Commissie kan daar anders over denken. Van der Wolk verwacht dat de Data Reform Bill rond de zomer van 2023 in werking treedt.
De Europese Commissie moet dan oordelen of de aanpassingen inderdaad voldoende aansluiten op de GDPR, zoals de Britten stellen. De vraag is wanneer de Commissie dat doet. ‘Ze kan wachten tot eind juni 2025 wanneer het adequaatheidsbesluit automatisch afloopt. Maar de Commissie kan in de Britse aanpassingen ook aanleiding zien het oordeel te vervroegen.’ Als dat oordeel vervolgens positief is, blijft de huidige situatie voortduren waarbij persoonlijke data naar het VK zijn te exporteren.
Lastig wordt het voor betrokken bedrijven als de Commissie meer tijd nodig heeft na juni 2025. ‘Dan is er niks meer’, stelt Van der Wolk. Als er geen adequaatheidsbesluit is, kun je data niet zomaar naar het VK doorgeven. ‘Daarvoor zijn dan aparte modelcontracten nodig. Dat betekent extra administratieve lastendruk.’
