Brexit: we have a deal! Of toch niet?

De eeuwige discussie over een ‘deal or no deal’ leek verdacht veel op een aflevering van Miljoenenjacht, maar er is nu dan toch eindelijk een akkoord bereikt! Wie denkt dat we nu ook weten waar we aan toe zijn met betrekking tot de General Data Protection Regulation (GDPR, ofwel de Algemene Verordening Gegevensbescherming) komt helaas van een koude kermis thuis. De enige zekerheid is de zogenaamde overgangsperiode tot en met 31 december 2020. ‘Business as usual’ tot en met 31 december 2020 dus.

De ‘scheiding’ is definitief, maar de onderhandelingen beginnen nu pas echt. Hoe dichter de deadline nadert, hoe spannender het zal worden.

Dat we niet te vroeg moeten juichen heeft alles te maken met het feit dat er totale onzekerheid bestaat over hoe het ‘GDPR-landschap’ er na de overgangsperiode uit zal zien. Hoewel een jaar wellicht lang lijkt, zal voor veel bedrijven pas ‘last minute’ meer duidelijkheid ontstaan over hoe het verder moet. Welke scenario’s bestaan er na de overgangsperiode?

Nu het VK geen EU-lidstaat meer is, wordt het land vanuit het GDPR-perspectief gezien als een zogenaamd ‘derde land’. Indien verder niets overeen wordt gekomen tussen het VK en de EU, zullen aanvullende maatregelen getroffen moeten worden om persoonsgegevens uit te kunnen wisselen. Denk hierbij aan eventuele modelcontractbepalingen die worden vastgesteld door de Europese Commissie, een gedragscode of bindende bedrijfsvoorschriften.

Nu het VK geen EU-lidstaat meer is, wordt het land vanuit het GDPR-perspectief gezien als een zogenaamd ‘derde land’

Het VK kan er ook voor kiezen om de GDPR te blijven hanteren onder de nationale wetgeving. Er komt dan een ‘Britse variant’ op de GDPR. Hoe dit in de praktijk zal uitpakken is nog onzeker. Welke rol voor de Britse privacywaakhond, de Information Commisioner’s Office (“ICO”), is weggelegd is dan ook nog maar de vraag. ICO heeft echter al laten weten dat ze graag de samenwerking met de andere privacy autoriteiten van de EU wil doorzetten. Of het VK de EU-wetgeving zal volgen valt nog te bezien. Een andere mogelijkheid is dat de Europese Commissie een adequaatheidsbeslissing neemt. Dit houdt in dat het VK een ‘stempel’ krijgt dat de nationale wetgeving een passend niveau van gegevensbescherming biedt en dat de persoonsgegevens zonder aanvullende maatregelen uitgewisseld kunnen worden.

Indien het VK besluit om de GDPR te blijven hanteren, is het mijns inziens moeilijk te verdedigen dat het land geen passend niveau van gegevensbescherming zou bieden. De EU zal zichzelf dan immers tegenspreken. Al met al bestaat er nog veel onzekerheid. De scheiding is in volle gang, dus wie weet wat de emoties nog te weeg zullen brengen. To be continued..