Let op! Door de Brexit handelt u mogelijk in strijd met de AVG

Op dit moment is het Verenigd Koninkrijk nog onderdeel van de Europese Unie. Het Europese recht is dan ook van toepassing op de handel met het verenigd Koninkrijk. Dit geldt ook voor de Genereal Data Protection Regulation (GDPR), waar de AVG de Nederlandse vertaling van is.

Onder de AVG is de verwerking en uitwisseling van persoonsgegevens toegestaan met alle landen die onderdeel zijn van de EU of met landen buiten de EU die een “veilige status” hebben gekregen. Op dit moment is het Verenigd Koninkrijk nog een EU land, maar dit kan in geval van een harde Brexit op 29 maart aanstaande van het ene op het andere moment afgelopen zijn. Omdat het Verenigd Koninkrijk op dit moment lid is van de EU heeft zij niet de status van veilig land onder de GDPR, dit heeft zij immers niet nodig. Maar bij een harde Brexit is zij én geen EU lid meer én geen veilig land. Vanaf dat moment is de verwerking van persoonsgegevens in het Verenigd Koninkrijk in strijd met de AVG.

Maar verwerkt u persoonsgegevens in het Verenigd Koninkrijk? Ook als u geen directe uitwisseling van persoonsgegevens met het Verenigd Koninkrijk heeft is die kans groter dan u mogelijk denkt. Werkt u bijvoorbeeld in de cloud, met SaaS (Software as a Service) of heeft u uw data opgeslagen op een externe locatie zoals een datacenter? Dan kan het al snel zo zijn dat deze opslag van data of de verleende support (ook) in het Verenigd Koninkrijk plaats vindt. En opslag van data en support zijn verwerkingshandelingen waarop de AVG van toepassing is.

Wat moet u doen?

Stel allereerst vast of u persoonsgegevens laat verwerken in het Verenigd Koninkrijk. Controleer ook of uw verwerkers mogelijk sub-verwerkers in het Verenigd Koninkrijk inschakelen, want ook daar kunt u verantwoordelijk voor zijn.  Vindt er een verwerking onder uw verantwoordelijkheid plaats in het Verenigd Koninkrijk, onderzoek dan of deze verwerking ook buiten het Verenigd Koninkrijk maar binnen de EU kan plaatsvinden. Is dit niet zondermeer mogelijk dan is het in ieder geval zaak alle onderliggende contracten, waaronder verwerkersovereenkomsten, goed te laten controleren en waar nodig aan te passen om zo de risico’s op een boete van de Autoriteit Persoonsgegevens te beperken of geheel uit te sluiten. In de meeste gevallen is dit gelukkig mogelijk. Neem gerust contact met mij op voor deskundig advies.