Na jaren van onderhandeling is de Brexit eindelijk een feit. Dat betekent nog niet dat elk knelpunt is opgelost. Zo is er nog veel onduidelijk over de overdracht van persoonsgegevens vanuit Europa naar het Verenigd Koninkrijk.
Nu het Verenigd Koninkrijk uit de EU is gestapt, valt het land niet langer onder de Europese regelgeving voor bescherming van data: de GDPR. Om het mogelijk te maken voor Britse organisaties om persoonlijke gegevens van Europese burgers te blijven beheren, moeten er nieuwe manieren komen om gegevensstromen te reguleren.
Als het gaat om het overdragen van persoonsgegevens, ziet de EU het Verenigd Koninkrijk nog niet als een extern land. Persoonlijke informatie van Europese burgers kan nog vrijuit naar het Verenigd Koninkrijk verstuurd worden. Deze overbruggingsperiode duurt nog zes maanden.
Een mogelijke oplossing kan zijn dat Britse wetten een vergelijkbare bescherming van data waarborgen als de GDPR. Het land kan hierdoor een speciale status van geschiktheid ontvangen.
Als er in de komende zes maanden geen deal voor datastromen komt, loopt de overbruggingsperiode ten einde. Het Verenigd Koninkrijk moet dan een andere manier bedenken om te zorgen dat organisaties in het land nog altijd op een legale manier persoonsgegevens uit de EU kunnen verwerken.
Wat als de EU en het VK er niet samen uitkomen?
Zonder de overbruggingsperiode of als de wetten van het Verenigd Koninkrijk van de EU geen status van geschiktheid ontvangen, zouden Britse organisaties tegen gigantische administratieve obstakels aanlopen. Elke overdracht van informatie, zoals namen, IP-adressen, HR-gegevens of aflevergegevens moet worden beoordeeld. In de meeste gevallen moeten er specifieke contracten worden opgesteld, genaamd Standard Contractual Clauses (SCC’s).
Zowel de afzender als de ontvanger van data moet SCC’s ondertekenen. Volgens recente schattingen zouden de totale kosten om SCC’s in te voeren voor Britse bedrijven 2,1 miljard dollar bedragen.
Driekwart van de internationale datastromen in het Verenigd Koninkrijk zijn afkomstig vanuit de EU. Van gezondheidszorg en financiële diensten tot toerisme en de bankwereld, vrijwel elke industrie zou last hebben van een plots einde aan de vrije datastroom tussen Europa en het Verenigd Koninkrijk.
Gaat de EU de Britse privacywetgeving goedkeuren?
Door de tijdelijke overbruggingsregeling is het scenario waarbij Britse bedrijven gebruik moeten maken van SCC’s een half jaar uitgesteld. Doordat de Data Protection Act en de GDPR op hetzelfde neerkomen, hopen veel mensen dat de EU een status van geschiktheid toekent aan het Verenigd Koninkrijk. Dat zou organisaties een hele hoop kosten en moeite besparen. Ben Rapp, oprichter van dataprivacy-adviesbureau Securys gelooft er niet in dat dit gebeurt.
In een officieel advies raadt de regering van het Verenigd Koninkrijk organisaties aan om in de komende zes maanden uit voorzorg alternatieve mechanismes op te zetten. Zo voorkomen organisaties een onderbreking in de vrije stroom van informatie vanuit de EU.
Op de korte termijn zijn veel bedrijven blij met de verlening van de overgangsperiode. Het geeft hen de tijd om een dataramp te voorkomen. Volgens Rapp geeft de periode Britse bedrijven meer tijd om hun processen voor te bereiden. Hij raadt organisaties aan om erop te rekenen dat ze na de verlenging gebruik moeten gaan maken van SCC’s.