Skip links

Brexit: Voldoet jouw cliënt straks nog aan de GDPR?

De Brexit kan gevolgen hebben voor de GDPR-compliance van jouw cliënt. Hoe zit dat precies?

Nog niet zo lang geleden werden we overspoeld door berichten over de General Data Protection Regulation (GDPR, of: AVG in het Nederlands) van de Europese Unie. Inmiddels staan media vol met berichten over de Brexit: het Verenigd Koninkrijk zal (in welke vorm dan ook) de Europese Unie verlaten. Beide onderwerpen zijn met elkaar verbonden: de Brexit kan namelijk gevolgen hebben voor de GDPR-compliance van jouw cliënt. Hoe zit dat precies?

Gegevensbescherming binnen de Europese Unie

De GDPR beschermt persoonsgegevens van burgers binnen de Europese Unie. Dit zorgt ervoor dat iedere lidstaat een bepaalde mate van zekerheid biedt over de opslag en verwerking van persoonsgegevens. Als jouw cliënt alleen gegevens verwerkt of opslaat binnen de Europese Unie, voldoe je een stuk makkelijker aan de GDPR: de juridische fundering voor de gegevensbescherming ligt immers al vast. Zorg wel dat je altijd op de hoogte bent van de fysieke locatie van servers, ook voor clouddiensten als Microsoft SharePoint, Dropbox, of Google Drive. Vallen deze buiten de EU, dan kan de GDPR een probleem vormen.

Gegevensbescherming buiten de Europese Unie

Tref extra maatregelen zodra de verwerking, of opslag, van persoonsgegevens plaatsvindt buiten de grenzen van de Europese Unie. Alleen dan voldoe je aan de GDPR. Slaat jouw cliënt gegevens op buiten de EU, dan is het tot nu toe onduidelijk of het voor Nederlandse (en andere Europese) bedrijven überhaupt nog mogelijk is om aan de GDPR te voldoen. Waar mogelijk raden wij altijd sterk aan om gegevensverwerking en -opslag binnen de grenzen van de Europese Unie te houden.

Waar mogelijk raden wij altijd sterk aan om gegevensverwerking en -opslag binnen de grenzen van de Europese Unie te houden.

De gevolgen van een Brexit voor GDPR-compliance

Verlaat het Verenigd Koninkrijk daadwerkelijk de Europese Unie, dan heeft dit gevolgen voor de toepasselijkheid van de GDPR. Gegevensverwerking binnen het Verenigd Koninkrijk geldt dan als gegevensverwerking buiten de EU. Op dit moment heeft het Verenigd Koninkrijk de GDPR overgenomen in haar eigen wetgeving: de Data Protection Act 2018. Volgens deze wetgeving gelden voor dataverwerking en -opslag binnen het Verenigd Koninkrijk dezelfde eisen en voorwaarden als voor de Europese Unie.

Of het Verenigd Koninkrijk gebonden zal blijven aan besluiten van het Europese Gerechtshof en het Europees Comité voor Gegevensbescherming, dat is op dit moment nog maar de vraag. Bovendien is het Verenigd Koninkrijk niet verplicht om de wetgeving in lijn met de GDPR te houden. In theorie is het dus mogelijk dat het Verenigd Koninkrijk haar wetgeving over gegevensbescherming aanpast.

In conclusie: er is geen zekerheid dat de bescherming van persoonsgegevens blijft zoals het nu is, als het Verenigd Koninkrijk de Europese Unie verlaat. Bedrijven die persoonsgegevens (laten) verwerken of opslaan in het Verenigd Koninkrijk zullen er dus, indien mogelijk, goed aan doen dit te verplaatsen naar een land binnen de Europese Unie.

Meer weten over de gevolgen van de Brexit voor jouw contracten, bedrijf of cliënten? Houd onze blog in de gaten, of neem contact met ons op.