EU verleent gegevenstoereikendheid aan het VK voor een periode van vier jaar

Vandaag (28 juni) heeft de EU twee adequaatheidsbesluiten voor het Verenigd Koninkrijk aangenomen, slechts twee dagen voordat een voorwaardelijke interimregeling die was overeengekomen in de handels- en samenwerkingsovereenkomst tussen de EU en het VK op 30 juni 2021 afliep. De nieuwe adequaatheidsovereenkomsten zijn onmiddellijk van kracht, schrijft Catherine Feore. 

In het besluit wordt erkend dat de regels van het VK - die in feite die van de EU zijn - toereikend waren om te voldoen aan het beschermingsniveau van de EU. De besluiten zijn vereisten onder de Algemene Verordening Gegevensbescherming (AVG) en de Wetshandhavingsrichtlijn waardoor gegevens vrijelijk van de EU naar het VK kunnen stromen. 

De Britse premier Boris Johnson vroeg vooraanstaande Brexit-aanhangers, waaronder parlementslid Iain Duncan Smith, om een ​​taskforce te vormen om "de nieuwe kansen van het verlaten van de EU te grijpen". Een van de door de taskforce geïdentificeerde gebieden was de AVG, die zij beschouwt als een belemmering voor innovatie en groei. 

In de laatste rapport, identificeert de taskforce specifiek de artikelen 5 en 22 van de AVG als 

schadelijk voor het bedrijfsleven. Artikel 5 van de AVG vereist dat gegevens "verzameld worden voor welbepaalde, expliciete en legitieme doeleinden" en "adequaat, relevant en beperkt tot wat nodig is". De taskforce is van mening dat dit de ontwikkeling van AI-technologieën beperkt. 

Artikel 22 van de AVG bepaalt dat individuen "[niet] moeten worden onderworpen aan een beslissing die uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering, die rechtsgevolgen voor hem of haar teweegbrengt, of hem of haar op vergelijkbare wijze aanzienlijk treft", betoogt het VK dat het opnemen van menselijke beoordeling kan leiden tot beslissingen die verkeerd, niet verklaarbaar of bevooroordeeld zijn en stelt dat geautomatiseerde besluitvorming niet uitsluitend gebaseerd mag zijn op uitdrukkelijke toestemming, maar kan worden gebruikt wanneer er een legitiem of openbaar belang in het spel is.

Vicepresident Waarden en Transparantie Věra Jourová zei: “Het VK heeft de EU verlaten, maar vandaag is het wettelijke regime voor de bescherming van persoonsgegevens zoals het was. Daarom nemen we vandaag deze adequaatheidsbesluiten aan.” Jourová erkende de bezorgdheid van het Parlement over de mogelijkheid van divergentie in het VK, maar zei dat er belangrijke waarborgen waren.  

advertentie

Justitiecommissaris Didier Reynders zei: “Na maanden van zorgvuldige evaluaties kunnen we EU-burgers vandaag de zekerheid geven dat hun persoonsgegevens beschermd zullen zijn wanneer ze naar het VK worden overgedragen. Dit is een essentieel onderdeel van onze nieuwe relatie met het VK. Het is belangrijk voor een vlotte handel en een effectieve bestrijding van criminaliteit.”

Voor het eerst bevatten de adequaatheidsbesluiten een 'sunset-clausule', die hun duur strikt beperkt. Dit betekent dat de besluiten na vier jaar automatisch vervallen. Na die periode kunnen de bevindingen van adequaatheid echter alleen worden verlengd als het VK een adequaat niveau van gegevensbescherming blijft waarborgen.

De Commissie heeft bevestigd dat zij gedurende deze vier jaar de juridische situatie in het VK zal blijven volgen en op elk moment kan ingrijpen als het VK afwijkt van het huidige beschermingsniveau. 

Julian David, CEO van TechUK, een handelsorganisatie voor de Britse digitale sector, zei: “Sinds de dag na het referendum van 2016 is het veiligstellen van een adequaatheidsbesluit tussen de EU en het VK een topprioriteit voor techUK en de bredere technologie-industrie. De beslissing dat het gegevensbeschermingsregime van het VK een gelijkwaardig beschermingsniveau biedt als de AVG van de EU, is een blijk van vertrouwen in de hoge gegevensbeschermingsnormen van het VK en is van vitaal belang voor de handel tussen het VK en de EU, aangezien het vrije verkeer van gegevens essentieel is voor alle bedrijfssectoren.”

Het VK hoopt dat ontwikkelingen op dit gebied kunnen worden ontwikkeld via de G7 Digital and Technology-sectorcoördinatieovereenkomst.

Rafi Azim-Khan, Head of Data Privacy bij het internationale advocatenkantoor Pillsbury, zei: “Je zou waarschijnlijk de hele offshore windvloot van het VK van stroom kunnen voorzien met een zucht van verlichting van Britse bedrijven. Het VK heeft nu van de EU een bevinding van de gepastheid van de gegevenswetgeving verkregen. Dit is een heel groot probleem voor alle bedrijven die in het VK actief zijn, omdat het complicaties vermijdt die de gegevensstromen van de EU naar het VK hadden kunnen verstoren, net zoals overdrachten buiten de EU naar de VS, het Verre Oosten en andere landen worden beïnvloed.

“Er moet aan worden herinnerd dat de EU-regels de drijvende kracht zijn achter veranderingen in de gegevenswetgeving over de hele wereld. De AVG wordt vaak gezien als de gouden standaard voor gegevensprivacywetten en heeft een groot rimpeleffect gehad, zoals het beïnvloeden van nieuwe wetten, zoals in Brazilië en Californië. De EU lijkt bereid om hard op te treden tegen wijzigingen in de AVG. Het is waarschijnlijk dat het VK min of meer in de pas met Europa zal blijven, misschien met wat knutselen om te helpen bij de inspanningen van 'Global Britain'.

Deel dit artikel: