De overdracht van persoonsgegevens in het algemeen, en in de financiële sector in het bijzonder, is een van de vele lacunes in de handels- en samenwerkingsovereenkomst (TCA) van Brexit. Er is een overgangsperiode, maar als die later dit jaar afloopt, mogen financiële instellingen mogelijk geen klantgegevens meer overdragen tussen het VK en de EU. Dit komende getouwtrek over de GDPR kan ons veel vertellen over andere discussies tussen de EU en het VK die op ons afkomen.
Wie heeft genoten van de eindeloze opeenvolging van deadlines bij het vertrek van het VK uit de EU, zal blij zijn met het proces dat de magere handels- en samenwerkingsovereenkomst (TCA), waarover op kerstavond overeenstemming is bereikt, concreet gestalte geeft. Wat bijvoorbeeld de doorgifte van gegevens betreft, blijven de GDPR-regels van kracht tot 30 april, “welke periode met nog eens twee maanden wordt verlengd, tenzij een van de partijen bezwaar maakt”, aldus de richtsnoeren van de Luxemburgse nationale commissie voor gegevensbescherming (CNPD). Dus als uw bedrijf interne datastromen aan de overkant van het Kanaal heeft opgeslagen of gebruik maakt van een Britse dienstverlener, moet elke relatie zorgvuldig worden geanalyseerd.
Is het VK in wezen gelijkwaardig?
Daarna zal een meer permanente overeenkomst nodig zijn. Als de EU besluit dat de Britse regeling voor de bescherming van persoonsgegevens “in wezen gelijkwaardig” is, kan zij toestaan dat bestaande relaties worden voortgezet. Indien dit “besluit inzake adequaatheid” echter in het nadeel van het VK uitvalt, zullen “regels inzake internationale doorgifte van gegevens van kracht worden”, aldus de CNPD. Met andere woorden, er zullen geen expliciete regelingen voor gegevensoverdracht zijn, of mogelijk zullen de EU en het VK een nieuw kader moeten creëren.
Niet veel landen profiteren van een adequaatheidsbesluit van de Europese Commissie”, aldus Julien Leroy, senior juridisch adviseur bij de Vereniging van Luxemburgse Banken (ABBL). Wat de voortgang van de gelijkwaardigheidsbesprekingen betreft: We hebben hier geen zicht op, behalve dat we te horen hebben gekregen dat de Europese Commissie hard werkt aan de herziening van de normen,” zei hij. Gezien het recente gebrek aan bereidheid van het Verenigd Koninkrijk om deals te sluiten, zou slim geld uitgaan van een ‘no-deal data Brexit’.
Financiële dienstverleners moeten dus hun gegevensstromen herzien om er zeker van te zijn dat ze een ‘no-deal data Brexit’ aankunnen, anders riskeren ze de strenge straffen die in de GDPR zijn vastgelegd. Leroy heeft het gevoel dat de meeste Luxemburgse banken die actie hebben ondernomen, geen risico’s hebben genomen en ofwel afzonderlijke gegevenssilo’s hebben gecreëerd of grondige standaardcontractbepalingen hebben ingevoerd.
Contractuele oplossing
Wat zou dit betekenen voor exporteurs van gegevens over het Engelse Kanaal en organisaties in de EU die oudere gegevens uit het Verenigd Koninkrijk bewaren? Als er geen gelijkwaardigheidsbesluit is, moeten de gegevensstromen worden stopgezet en moeten de relevante gegevens worden gerepatrieerd naar het Verenigd Koninkrijk. Als alternatief kunnen maatregelen die worden beschouwd als “passende waarborgen” als bedoeld in artikel 46 van de GDPR voldoende bescherming bieden voor persoonsgegevens. Volgens Leroy bestaat de belangrijkste oplossing in het creëren van “aanvullende waarborgen - standaardcontractbepalingen - om ervoor te zorgen dat de doorgifte beveiligd is en de gegevens op dezelfde manier worden beschermd als onder de GDPR.
Deze laatste weg is echter potentieel beladen, zoals blijkt uit het arrest van 16 juli van het Hof van Justitie van de Europese Unie “Schrems II”, waarbij het besluit van de Europese Commissie over de adequaatheid van het EU-VS Privacy Shield Framework ongeldig werd verklaard. Meer dan 5.000 Amerikaanse bedrijven hadden hun trans-Atlantische gegevenshandelsrelaties op deze basis opgebouwd. Hoewel het besluit de geldigheid van contractuele standaardclausules handhaaft, zijn per geval aanvullende garanties nodig.
Een ander alternatief is dat de EU en het VK een op maat gemaakte regeling overeenkomen, zoals de regels die gelden voor landen van de Europese Economische Ruimte. De TCA bevat slechts een paar paragrafen over gegevensbescherming, en die zijn van een zeer hoog niveau, zonder enige inhoud,” merkt Leroy op. In welke context zouden deze besprekingen dan kunnen plaatsvinden?
Ongekozen Londense en Brusselse bureaucraten
De sleutel tot de toekomstige betrekkingen tussen de EU en het VK lijkt te liggen in het zeer complexe institutionele kader dat in de TCA is vastgesteld. Dit voorziet in de oprichting van niet minder dan 19 gespecialiseerde comités met EU- en Britse ambtenaren, maar waar gegevensbescherming (of financiële diensten) daarin zal passen, valt nog te bezien. Het zou kunnen gaan om de gespecialiseerde handelscommissie voor diensten, investeringen en digitale handel, of de gespecialiseerde handelscommissie voor samenwerking op regelgevingsgebied. Deze zullen verslag uitbrengen aan een Comité voor handelspartnerschap, dat zelf uiteindelijk verantwoording zal afleggen aan de Partnerschapsraad, waarin politici zitting hebben.
Wie precies in deze organen zal zetelen, wanneer en waar zij zullen vergaderen, hoe zij besluiten zullen nemen, hoe deze besluiten in de praktijk zullen worden gebracht en hoe geschillen zullen worden beslecht, moet nog worden geregeld. Een voormalige Britse ambtenaar met Brusselse ervaring vertelde de website Politico dat het zal lijken op de architectuur van de raad van de Europese Vrijhandelsassociatie (EVA), de intergouvernementele organisatie voor de betrekkingen met IJsland, Liechtenstein, Noorwegen en Zwitserland. Het verschil is dat het “veel minder transparant” zal zijn. Het is ook niet bekend of het Britse parlement en het EU-parlement toezicht zullen houden. Hoe lobby je bij deze structuur?”, vraagt Maddy Thimont Jack, associate director van het Institute for Government.
Het is enigszins ironisch dat veel van het anti-EU verhaal in het VK werd gedreven door het idee dat beslissingen worden genomen door “ongekozen Brusselse bureaucraten”, alleen om deze fictieve visie na de Brexit in het echt te laten gelden. De Britse regering hoopt dat haar politieke wendbaarheid de doorslag kan geven bij de werkzaamheden van deze commissie. De EU-lidstaten zullen vertrouwen op de overredingskracht die voortvloeit uit het feit dat zij meer dan zes keer zo groot zijn als het VK.