Harde Brexit
Eind oktober zal dan eindelijk de Brexit doorgaan, maar zoals het er nu naar uitziet zal het een harde Brexit worden. Dat betekent meteen dat Groot-Brittannië ten opzichte van de EU dezelfde status heeft als andere niet-EU-landen zonder conforme privacystandaard. Veel IT-processen worden dan van het ene op het andere moment onrechtmatig.
Groot-Brittannië is nog steeds niet uit de EU getreden – sterker nog: ze mochten nog gewoon meestemmen met de Europese verkiezingen. Ze hebben tot eind oktober uitstel gekregen, maar het gevaar blijft bestaan dat de Brexit zonder deal zal gaan verlopen. Als dat het geval is, heeft het Verenigd Koninkrijk vanuit het oogpunt van de EU van de ene op de andere dag de status van een niet-EU-land als Uruguay en Nigeria – met name wat betreft privacy.
De AVG zal een groot probleem gaan vormen voor zakelijke betrekkingen met Britse bedrijven. Vaak is dat helemaal niet duidelijk, maar elk bedrijf dat persoonsgerelateerde data verwerkt via externe dienstverleners in Groot-Brittannië heeft dan een probleem. Dat is bijvoorbeeld bij bestellingen waarvan onderdelen of accessoires geleverd worden uit GrootBrittannië. Ook kan het zijn dat er gebruikersgegevens aan softwarelicenties gekoppeld zijn, waarvan de updates op het eiland staan. Veel bedrijven hebben een meertalige website met een Europese en Britse domeinnaam.
Mocht een Brexit met een deal lukken, dan wordt het Britse privacybeschermingsniveau gelijkgesteld met het Europese. Zonder een deal moet de EU-commissie eerst controleren of er een vergelijkbaar databeschermingsniveau van toepassing is. Die controle zal echter pas gestart worden nadat de Britten Europa hebben verlaten en kan dan een paar maanden of zelfs jaren in beslag nemen. Elke overdracht van persoonsgerelateerde data vanuit de EU naar Groot-Brittannië is bij een harde Brexit dan ook meteen onrechtmatig. Dat kan een bedrijfsinterne data-uitwisseling zijn, dat kan zijn in het kader van klantbestellingen of bij het afwikkelen van software-updates – en zelfs bij de salarisafrekening van Europese externe medewerkers.
PRIVACY À LA USA?
De relatie tussen de EU en de VS laat zien hoe problematisch een ongeregelde status kan zijn. De rol van de Amerikaanse geheime dienst verhinderde een afdoende databeschermingsniveau. Door de SafeHarbor-overeenkomst konden Europese bedrijven echter toch persoonsgerelateerde data in overeenstemming met de Europese privacyrichtlijnen met de VS. Nu geldt de EU-US Privacy Shield, die gelijkwaardig moet zijn aan de Europese privacywetgeving. Maar er mogen dan alleen gegevens uitgewisseld worden met Amerikaanse bedrijven die op de lijst staan van bedrijven die zich daar aan conformeren.
Veel online aanbieders is dat niet gelukt, vandaar dat veel portals geblokkeerd worden voor Europese IP-adressen. Of ze hebben geprobeerd de hele EU vanuit Groot-Brittannië te bedienen. Dat kan na een harde Brexit dan natuurlijk ook niet meer. Voor Office 365-diensten geldt bijvoorbeeld dat die ‘op servers in Europa’ staan, maar hoe dat er na een Brexit uitziet is niet duidelijk.
De gevolgen van een harde Brexit zijn dan ook groot voor het dataverkeer en zeker voor het uitwisselen van persoonsgerelateerde data tussen Europa en het op dat moment niet meer bij de Europese Unie horende Groot-Brittannië. Bedrijven moeten zich vóór dat moment dan ook al realiseren wat de mogelijke gevolgen voor hen kunnen zijn. Anders lopen ze het risico dat hun hele businessmodel in duigen valt .