Geen paniek om Brexit: deal or no deal?


21 feb 2019
Albert Holl



Aangezien binnenkort wordt besloten op welke manier het Verenigd Koninkrijk de Europese Unie gaat verlaten, ligt paniek op de loer. Alweer, kunnen we eraan toevoegen, want het is niet voor het eerst dat het bedrijfsleven in verwarring raakt. Vorig jaar heeft ook de komst van de AVG al heel wat Europese bedrijven de stuipen op het lijf gejaagd. Dan zou je denken dat er nu nóg meer reden is voor onrust en bezorgdheid vanwege een mogelijke 'harde' Brexit, die veel verder reikende gevolgen zal hebben dan de nieuwe AVG-wetgeving. Maar wij denken er toch anders over: er zijn goede redenen om niet in paniek te raken.
 

Een paniekerige e-mail

Om te beginnen heeft paniek nog nooit iets positiefs opgeleverd, in tegenstelling tot kalm blijven en je gezond verstand gebruiken. Degenen die vorig jaar wel in paniek raakten, hebben daar later waarschijnlijk spijt van gekregen. Bijvoorbeeld een grote financiële instelling die een alarmerende e-mail van juridische aard had rondgestuurd naar zo'n 200.000 klanten, die op hun beurt ook weer paniekerig handelden door niet te reageren op de opt-in. Het gevolg was dat het bedrijf in één klap een waardevolle klantendatabase kwijtraakte. Bovendien waren de enige boetes die tot nu toe zijn uitgedeeld voor bedrijven zoals Facebook en Google. Zo legde de Franse privacy toezichthouder CNIL de afgelopen maand een boete van €50 miljoen op aan Google, vanwege een overtreding van de AVG.
In dit specifieke geval had Google ontegenzeggelijk inbreuk gemaakt op het AVG-uitgangspunt van transparantie. Bovendien werden niet een handjevol maar zo'n tienduizend mensen getroffen door deze overtreding, die door een belangengroep aan CNIL was gemeld.
 

De Safe Harbor overeenkomst

Maar nu weer terug naar Brexit en de gevolgen hiervan voor privacy management. In Nederland hebben verschillende brancheorganisaties hun zorgen dit onderwerp uitgesproken. Aan de ene kant is dit een goede zaak. Maar aan de andere kant ontstaat er onnodig veel onrust als de alarmbel wordt geluid over hoge boetes die wellicht opgelegd zouden kunnen worden bij een niet-geautoriseerde overdracht van persoonlijke informatie naar Verenigd Koninkrijk. Weet u nog hoe het afliep met Safe Harbor, de voormalige privacyovereenkomst voor Amerikaanse bedrijven die zakendoen in de EU? Die overeenkomst werd vrij plotseling afgeschaft, maar de onduidelijkheid werd al snel verholpen door de invoering van het EU-USA Privacy Shield. Zonder echte schade.
   

Meerdere scenario's

Er zijn verschillende scenario's om rekening mee te houden. Het hangt ervan af of de Europese Commissie al dan niet een zogeheten adequaatheidsbesluit neemt volgens artikel 45 van de AVG. In dat geval geldt de privacybescherming in het Verenigd Koninkrijk als voldoende, omdat het Verenigd Koninkrijk dan door de EU wordt gezien als 'een derde land met een passend beschermingsniveau'. Een dergelijk besluit geldt momenteel al voor landen zoals Zwitserland, Canada en Argentinië.
 

  • Als er geen adequaatheidsbesluit komt, moeten er zogeheten modelovereenkomsten, bindende bedrijfsvoorschriften (BCR) voor grote organisaties, gedragscodes of certificeringsmechanismen komen.
  • Als er wel een adequaatheidsbesluit wordt genomen, blijven de meeste zaken bij het oude. Er kunnen dan wel incidenteel verschillen ontstaan in de interpretatie en de handhaving van privacykwesties.

Het Europees Comité voor gegevensbescherming (de EDPB) baseert zich bij de afhandeling hiervan op de desbetreffende richtlijnen van de toezichthoudende autoriteiten en de Europese Commissie (EC). Bezoek voor meer informatie de website van de Autoriteit Persoonsgegevens (AP).


Geef uw reactie


Verzenden