We bevinden ons momenteel in periode van overgang naar de uitvoering van de Europese verordening rond gegevensbescherming (General Data Protection Regulation – GDPR), die in 2018 van kracht wordt. Het is zeer waarschijnlijk dat als het Verenigd Koninkrijk uit de EU stapt, het dat pas daarna zal doen. Laten we daarom even bekijken wat er in die context zou kunnen gebeuren met de GDPR. Het gaat namelijk om een verordening, een tekst die onverkort van toepassing zal zijn in de lidstaten, ook al krijgen de lidstaten enige speelruimte op wetgevend gebied.
Het toepassingsgebied van de GDPR omvat de gegevens die betrekking hebben op privépersonen in de EU, of gegevens waarmee privépersonen in de EU kunnen worden geïdentificeerd. Een bedrijf uit het Verenigd Koninkrijk dat diensten aanbiedt aan EU-burgers zal daarom de GDPR moeten naleven, die striktere regels bevat dan die die momenteel in het Verenigd Koninkrijk gelden.
De GDPR zal dus van toepassing zijn op Britse bedrijven die gegevens uit de EU verwerken om aan targeting te doen of om goederen en diensten aan te bieden aan consumenten, of het Verenigd Koninkrijk nu wel of niet in de unie blijft. Dit geldt niet in B2B-context, noch in gevallen waar er geen profilering plaatsvindt.
Twee mogelijkheden tekenen zich dus af voor het VK.
Het Verenigd Koninkrijk zou kunnen opteren voor toepassing van de GDPR-regels, die in 2018 van kracht worden. In dat geval zou het door de EU erkend kunnen worden als land dat dezelfde waarborgen biedt als de lidstaten. Hiervoor is wel een gelijkwaardigheidsbesluit nodig, tenzij het VK blijft deel uitmaken van de Europese Economische Ruimte (EER).
Maar het Verenigd Koninkrijk zou ook eigen gegevensbeschermingsregels kunnen opstellen, en hopen dat het dan door de EU erkend wordt als land dat passende bescherming biedt.
Zonder deze erkenning zal het moeilijker worden om gegevens in te voeren vanuit de EU zonder contracten met de modelbepalingen of de bindende ondernemingsregels van de EU.
Contracten met modelbepalingen afsluiten tussen elke juridische entiteit in een complexe bedrijfsstructuur, is een administratieve puzzel. Bindende ondernemingsregels moeten worden goedgekeurd door de privacytoezichthouders van de EU, een nog moeilijkere, duurdere en tijdrovende procedure.
Problemen met erkenning door de EU kwamen al eerder voor in andere delen van de wereld. Neem nu het “Safe Harbor”-akkoord, dat vorig jaar werd afgevoerd na nietigverklaring door het Europees Hof van Justitie. Wel twee jaar lang probeerden Washington en Brussel een vervangingsakkoord af te sluiten, wat pas onlangs gelukt is.
De toekomst van het bedrijfsleven en van technologie op wereldschaal hangt af van het digitale, dat draait op gegevens. Dit wordt de basis voor onze economie. De Britse regering staat dus voor een moeilijke keuze wat haar nieuwe systeem voor gegevensbescherming betreft.
Al zou een deel van de Britse wetgeving immer Europees kunnen blijven…
https://www.linkedin.com/pulse/de-brexit-exit-privacy-ivan-vandermeersch/