Opslag van persoonsgegevens in VK bij een harde Brexit
De Autoriteit Persoonsgegevens heeft regels opgesteld voor het doorgeven van persoonsgegevens aan het Verenigd Koninkrijk als er sprake zou zijn van een harde Brexit. In dat geval geldt het VK als een ‘derde land’, en daarvoor geldt een aparte aanpak.
Als de Brexit uitdraait op een zogenoemde harde of ‘no deal’-Brexit, dus een uittreding uit de EU zonder afspraken, gaan er andere regels gelden voor de opslag van persoonsgegevens in het Verenigd Koninkrijk (VK). Het VK geldt dan als een derde land, en daarvoor gelden andere regels. Organisaties die inderdaad persoonsgegevens opslaan in het VK, moeten bepalen hoe ze de bescherming daarvan willen regelen. Volgens de Autoriteit Persoonsgegevens (AP) hebben ze daarvoor drie manieren:
- Ze kunnen terugvallen op standaard- of ad-hocbepalingen die door de Europese Commissie zijn goedgekeurd.
- Ze hanteren bindende bedrijfsvoorschriften.
- Ze baseren zich op gedragscodes of een certificeringsmechanisme.
Goedgekeurd en actueel
Een bindend bedrijfsvoorschrift is eigen beleid voor de bescherming van persoonsgegevens dat gehanteerd wordt door multinationals. Die zijn meestal zowel binnen als buiten de EU actief en hebben dus intern al regels voor derde landen. Deze voorschriften moeten wel zijn goedgekeurd door de AP en steeds geactualiseerd worden met de nieuwste AVG-jurisprudentie. Een organisatie mag zich ook baseren op een gedragscode of certificeringsmechanisme als hierin bindende en afdwingbare toezeggingen voor de opslag van persoonsgegevens zijn opgenomen waar een handelspartner in het derde land zich aan moet houden (tool).