Voor bedrijven
Digital Signatures Client Access Portals Practice Manager Client Onboarding Verkoop van diensten: offertes en voorstellen ID Verification Services
Voor particulieren
E‑Sign & Opslaan
Per functie
Verkoop Operations Compliance Personeelszaken
Verkoop professionele diensten Automate Client Onboarding Papierloos cloudgebaseerd documentbeheer Deal Rooms for Mergers & Acquisitions Praktijkmanagement Versnel het inwerkproces van nieuwe medewerkers beta
Overzicht van de toepassing Technische ondersteuning Wat is er nieuw Kennisbank
Integraties
See All Integrations Office365 Zoho CRM Xero
Blog Prijzen
Inloggen
🇬🇧UK 🇺🇸US 🇵🇱PL 🇺🇦UA 🇪🇸ES 🇩🇪DE 🇫🇷FR 🇳🇱NL 🇵🇹PT 🇮🇹IT
Start gratis proefperiode

Gegevensbescherming na de Brexit – wat nu?

MyDocSafe Team

Gegevensbescherming na de Brexit is een complex en voortdurend veranderend onderwerp, wat geen goed nieuws is voor het Britse bedrijfsleven. Het mkb zal naar verwachting, net als de grotere bedrijven, het zwaarst getroffen worden.

Het grootste probleem is dat gegevensbescherming niet in detail wordt behandeld in de handelsovereenkomst, hoewel deze wel een 'tijdelijk overbruggingsmechanisme' bevat voor het vrije verkeer van persoonsgegevens van de EU/EER naar het VK. We weten dat de Britse regering momenteel haar strategie aan het ontwikkelen is en heeft aangegeven dat gegevens als een kans in plaats van een bedreiging moeten worden beschouwd, wat meer aansluit bij de Amerikaanse dan bij de EU-aanpak. Na verloop van tijd zal het Britse model voor gegevensbescherming waarschijnlijk veranderen en mogelijk afwijken van dat van de EU. Momenteel gelden er verschillende regelingen:

  • De Britse GDPR-regeling: dit is de nieuwe, op de EU-GDPR gebaseerde versie van de GDPR die specifiek voor het Verenigd Koninkrijk is ontwikkeld.
  • EU GDPR-regime: dit is de oorspronkelijke GDPR die van toepassing is op alle 27 lidstaten van de Europese Unie, plus Noorwegen, IJsland en Liechtenstein.
  • Toereikendheidskloof of verouderde AVG-regeling – dit is niet van toepassing als het VK een definitief adequaatheidsbesluit van de EU ontvangt.

    • De Europese Commissie heeft een ontwerpbesluit opgesteld waarin staat dat de Britse GDPR en de DPA 2018 een beschermingsniveau voor persoonsgegevens die vanuit de EU/EER worden overgedragen, garanderen dat in wezen gelijkwaardig is aan het niveau dat de EU-GDPR biedt. Het besluit moet nog worden goedgekeurd en politieke overwegingen en risico's kunnen de ratificatie ervan vertragen.

Gegevens naar het buitenland verzenden:

  • Bindende bedrijfsregels (BCR's) blijven de gouden standaard.
    • De BCR's zijn bedoeld om multinationale ondernemingen in staat te stellen persoonsgegevens over te dragen van de EER naar hun groepsmaatschappijen buiten de EER (waaronder het VK sinds 31 december 2020).
  • Standaardcontractbepalingen (SCC's) zijn goedgekeurde modelvoorwaarden die ervoor zorgen dat aan de AVG-normen wordt voldaan (mits de bepalingen in de SCC's worden nageleefd).

    • De ICO is van plan om in 2021 nieuwe standaardcontractbepalingen (SCC's) voor het VK te publiceren. Er is een aangepaste versie van de bestaande EU-SCC's opgesteld, zodat deze beter aansluiten bij de Britse context. Het is mogelijk dat EU-SCC's op een gegeven moment ongeldig worden voor transacties vanuit het VK.

    • Deze voorstellen worden momenteel ter consultatie voorgelegd en er geldt een overgangsperiode van één jaar voor het gebruik ervan na goedkeuring. Het is waarschijnlijk dat ze geldig zullen zijn waar de EU-AVG van toepassing is. Het valt nog te bezien of het Verenigd Koninkrijk ze zal goedkeuren, maar anders zullen ze ongeldig zijn voor gegevensoverdrachten vanuit het Verenigd Koninkrijk onder de Britse AVG.

  • Andere uitzonderingen op de regel (zie onderstaande dia's en opname).

En hoe zit het met functionarissen voor gegevensbescherming (FG's)?

  • Als u momenteel verplicht bent een functionaris voor gegevensbescherming (DPO) te hebben, blijft die verplichting van kracht, ongeacht of dit onder de Britse AVG of de EU-AVG valt. U kunt een DPO blijven aanstellen die verantwoordelijk is voor het Verenigd Koninkrijk en de EER. De DPO kan in het Verenigd Koninkrijk gevestigd blijven.
  • Zowel de Britse als de Europese AVG vereisen echter dat uw functionaris voor gegevensbescherming (DPO) gemakkelijk bereikbaar is vanuit elke vestiging in de EER en het VK, en dat hij of zij over expertise beschikt op het gebied van beide regelgevingen.

Wat moet je nu doen?

  • De belangrijkste eerste stap is inzicht te krijgen in uw datastromen en de locaties waar deze plaatsvinden (u moet onderscheid maken tussen verwerking in het VK en verwerking in de EU. Geef prioriteit aan stromen met grote volumes, bijzondere categorieën persoonsgegevens of gegevens over strafrechtelijke veroordelingen en overtredingen, bedrijfskritische overdrachten en overdrachten die betrekking hebben op belangrijke risicogebieden zoals de VS). MyDocSafe heeft een GDPR-tool ontwikkeld voor het vastleggen en in kaart brengen van dergelijke datastromen. Deze tool fungeert zowel als audit- als privacybeheerplatform. De tool is momenteel alleen beschikbaar voor nieuwe zakelijke klanten, dus neem contact met ons op voor meer informatie.
  • Met uw huidige inzicht in datastromen moet u vervolgens beslissen of u verdere stappen wilt ondernemen, zoals:
    • Juridisch advies inwinnen om uw BCR, SCC's, privacyverklaringen en gegevensverwerkingsovereenkomsten bij te werken en op de hoogte te blijven van wetswijzigingen.
    • EU-, VK- en GOS-vertegenwoordigers aanstellen?
    • Bepaal uw geschikte leidinggevende toezichthoudende autoriteit.
    • Zorg ervoor dat uw functionaris voor gegevensbescherming (DPO) gemakkelijk bereikbaar is vanuit alle vestigingen in het VK en de EER en dat hij of zij expertise heeft in alle regelgeving.

Ons oordeel

Wij denken dat de huidige wetgeving niet gunstig is voor Britse mkb-bedrijven, die waarschijnlijk moeite zullen hebben om aan de regels te voldoen of het onderwerp simpelweg zullen negeren. Bedrijven met vestigingen in het VK denken waarschijnlijk dat ze zich geen zorgen hoeven te maken zolang ze hun gegevens maar in het VK bewaren. Maar de meesten weten niet eens of dat wel zo is. Er was weinig enthousiasme om dat uit te zoeken toen de AVG voor het eerst werd ingevoerd. We hebben anekdotisch bewijs verzameld waaruit blijkt dat weinig bedrijven de gegevensmapping hebben uitgevoerd en dat zeer weinig bedrijven daarvoor de juiste softwaretools hebben gebruikt. Dat is mede de reden waarom onze eigen AVG-dashboardtool, die speciaal voor dat doel is ontwikkeld en die we destijds gratis aanboden, niet langer beschikbaar zal zijn voor nieuwe mkb-klanten.

Tags

Beveiligd documentbeheer
← Terug naar blog
We use cookies to enhance your browsing experience and analyze site traffic. By clicking "Accept", you consent to our use of cookies. Privacy Policy