Britse toezichthouder: GDPR blijft ook tijdens Brexit-transitie gelden

De Europese privacywet geldt nog het hele jaar in het Verenigd Koninkrijk. Zolang het land in de transitiefase van de EU-uittreding zit, moeten bedrijven zich aan de privacyregels houden. Wat er na 2020 met de regelgeving gebeurt, is niet bekend.

Dat schrijft het Information Commissioner's Office, de Britse privacytoezichthouder. Het ICO wijst op de transitieperiode die het Verenigd Koninkrijk vrijdag ingaat. Tijdens die periode kan het land met de rest van de EU Brexit-regels afspreken. De transitieperiode loopt tot 31 december van dit jaar. "Tijdens deze periode is het business as usual voor databescherming", schrijft de toezichthouder. Dat betekent dat bedrijven die gegevens verwerken, nog steeds moeten voldoen aan de regels die vanuit Europa zijn opgelegd, zoals het vragen om toestemming.

Welke privacywetgeving vanaf 2021 zal gelden in het land, is zoals veel andere Brexit-zaken niet duidelijk. "Het is nog niet bekend hoe het databeschermingslandschap er aan het eind van de transitieperiode uit komt te zien", schrijft het ICO. "We erkennen dat bedrijven zorgen hebben over het verwerken van persoonsgegevens in de toekomst", is het enige wat de toezichthouder daaraan toevoegt. Het ICO zegt dat het de situatie nauwlettend blijft volgen en de eigen richtlijnen bijwerkt als dat nodig is.

Door Tijs Hofmans

Nieuwscoördinator

29-01-2020 • 15:55

46 Linkedin

Reacties (46)

46
46
22
9
1
22
Wijzig sortering
Gezien het Verenigd Koninkrijk geen wensen heeft om qua privacywetgeving fundamenteel af te wijken van de GDPR, verwacht ik dat het VK en de EU het komende jaar zullen proberen het VK op de lijst van adequate landen te zetten.

Dan verandert er ook na 2020 niets, behalve dan dat dataverwerking in Engeland zal gelden als een derde land en dat je dit moet vermelden op de privacyverklaringen richten betrokkenen.
Maar wat is in de komende maanden geen goede privacy wetten opgesteld worden in het VK dan vervalt neem ik aan de verwerkingsovereenkomst en geld dat je zonder uitdrukkelijke toestemming geen data naar je engelse bedrijfsvestigingen mag sturen...
Dit kan voor NL bedrijfen best grote gevolgen hebben.
De Engelse versie voor de GDPR wet staat bij hun in het wetboek. Om hiervan af te gaan wijken zou betekenen dat ze een nieuwe wet moeten aannemen om er na de bezit ook daadwerkelijk gewijzigd te zijn.

Het is een "het blijft zo tot er anders gezegd wordt" en niet een "na de brexit is de wet er niet meer tenzij besloten wordt de wet te houden".

Als ik het VK inschat verwacht ik dat er niet veel gewijzigd zal worden en zeker niet binnen dit jaar.
Zo eenvoudig is het wel niet hoor !!

het VK zal zoals het er nu uitziet niet langer het Europees hof erkennen als hoogtste rechtsorgaan, dus daar sta je dan met je GDPR naar engels recht en niet Europees recht als europees burger.

@bkor oppert hieronder net hetzelfde

[Reactie gewijzigd door klakkie.57th op 29 januari 2020 16:16]

Dat Europese hof kom je alleen wanneer je er zelfs bij de hoogste Engelse rechter niet uit komt (of wanneer die wil weten hoe het recht precies geïnterpreteerd moet worden).
De Nederlandse implementatie van de GDPR is de AVG. Daar gaat de Nederlandse rechter over en pas bij heel ingewikkelde fundamentele problemen kom je bij het Europese hof.
Precies, en hier gaat het sowieso gaan om heel ingewikkelde problemen.

bv: je hebt een cloudprovider , die medische gegevens opslaat en hier volgens Engels recht soepeler mee om mag gaan,.
Waar ga jij dan verhaal halen ?Volgens Engels recht doen ze niets verkeerd, volgens Europees recht wel.

De mogelijke voorbeelden zijn eindeloos
Wat jij beschrijft is juist helemaal geen ingewikkeld probleem.

Op dit moment is het Britse recht gelijk aan de GDPR. Dat is het op 1 februari nog steeds. Ze kunnen de wetgeving wel aanpassen, zodat het niet meer gelijk is aan de GDPR, maar dat zullen ze dus tijdens de transitie niet doen. Wanneer ze uiteindelijk de wetgeving wel aan gaan passen, waardoor bedrijven soepeler met gegevens om mogen gaan, kunnen er twee situaties ontstaan:
1. De cloudprovider is een Brits bedrijf dat zich richt op de Britse markt, maar ook buitenlandse klanten toelaat. In dat geval geldt het Britse recht en heb jij pech dat dat bedrijf meer met je gegevens mag doen dan wanneer je die gegevens bij een cloudprovider binnen de EU had geplaatst. Vergelijk het met de situatie waarin je een cloudprovider in China of India zou kiezen, die zich niet richt op de Europese markt.
2. De cloudprovider is een Brits bedrijf, dat zich ook richt op de Europese markt. In dat geval geldt voor hun klanten uit de EU de GDPR, net zoals Google, Facebook etc. daarmee te maken hebben.

Als consument heb je in geval 1 pech en kun je een andere cloudprovider kiezen, wanneer je het belangrijk genoeg vindt. In geval 2 blijft op jouw gegevens de GDPR van toepassing. Je kunt dan in het uiterste geval nog steeds terecht bij het Europese Hof. Wil het bedrijf actief blijven binnen de EU zal het zich aan de uitspraken van het Europese Hof moeten houden.

Als bedrijf binnen de EU, dat gegevens van derden beheert of verwerkt, heb je in geval 1 een probleem, omdat jij moet voldoen aan de GDPR. Je zult dan aanvullende afspraken moeten maken met je cloudprovider die voor jouw gegevens garandeert dat hij volgens de GDPR zal handelen. Kan je die garantie niet krijgen, dan zal je een andere cloudprovider moet zoeken die dat wel kan garanderen.
Mijn ervaring is toch dat contractonderhandelingen niet zo makkelijk zijn als jij hier wil doen uitschijnen.
Je hebt ook niet altijd de keuze, bv bedrijven waarvan het moederbedrijf switched bij een overname ..

Ik stel voor dat we binnen 2 jaar deze discussie nog eens oprakelen.
Juist bij contractonderhandelingen tellen de opinies van je juridische afdeling. "Jammer, moederbedrijf, maar dat mag niet in de EU" is een standaardbrief voor hun.
Ik zeg niet dat het makkelijk is. Ik zeg alleen dat dat de enige optie is wanneer je bij een Britse cloudprovider wilt blijven, wanneer deze niet aan de GDPR (of vergelijkbare wetgeving) hoeft te voldoen.
Tot en met 31/12/2020 erkennen ze het EHJ nog gewoon. Daarna zal het afhangen van het akkoord wat gesloten wordt tussen de EU en het VK.
Volgens mij hebben ze al lang gezegd dat ze het Europees hof niet gaan erkennen.
Dat was net 1 van de speerpunten van Boris Johnson.

https://www.independent.c...nson-latest-a9305251.html

[Reactie gewijzigd door klakkie.57th op 29 januari 2020 16:30]

Ze zouden ook per 31/12/2018 uit de EU stappen. Da’s ook anders gelopen. Net zoals geen grens in de Ierse zee.
Het verdrag is vrij duidelijk hierover. Artikelen 71 - 73 geven duidelijk aan dat er tot het einde van de transitieperiode op het gebied van databescherming niets veranderd. Niet in interpretatie, noch in rechtsbescherming. Tevens hebben partijen duidelijk ingebracht dat ze zoeken naar een equivalente behandeling na afloop van 2020, als ze dat al redden (noch zo'n belofte waar Johnson heel duidelijk probeert te zijn, maar waarvan we de uitkomst niet weten) Interpretaties en uitspraken van zaken aangebracht voor het einde van de transitieperiode worden afgehandeld volgens Europees recht. Nog vier jaar na afloop kan de EC evt. inbreukprocedures starten (dat wordt lachen in de pers..... :) )

Als dat een van de speerpunten was dan heeft ie verdomd weinig voor elkaar gekregen ten opzichte wat mevr. May al had uitonderhandeld, er is op dit terrein geen komma verplaatst.
De brede verwachting is dat de Britse regering de GDPR tekst in stand houdt, waardoor ze een inhoudelijk identieke bescherming bieden. Op basis daarvan kan de EU een adequancy decision afgeven, wat betekent dat de privacy bescherming van de UK-GDPR vergelijkbaar genoeg is met die van de EU-GDPR (logisch, want dezelfde tekst, alleen een andere rechter).
Ze hebben heel wat werk te doen daar...
De goede privacy wet is er al in het VK. Het gaat meer om of ze binnen een jaar een constructie kunnen accorderen die betekent dat vrije handel in data mogelijk blijft.

Als dat niet lukt, en een jaar is wel kort, dan betekent dat zeer veel voor bedrijven. Die moeten dan of modelcontracten gebruiken of binding corporate rules opstellen.
Het VK staat nou niet bepaald bekend als privacyvriendelijk. Fotografen, of het nou journalisten of straatfotografen zijn, worden met grote regelmaat door zowel politie als bewaking lastiggevallen ondanks het feit dat ze het wettelijk recht hebben om op de openbare weg te mogen fotograferen.
Het cameratoezicht is in het VK ook enorm (effectiviteit daarvan is dan weer niet bewezen voor bijv. Londen) waarbij Londen nu zelfs de stap zet naar het introduceren van gezichtsherkenning.

Dat zijn nou niet bepaald zaken die overeenkomen met het fundament van de GDPR. Vergeet hierbij ook niet waarom het VK de EU überhaupt verlaat. Het gaat ze om nationale trots (iets wat ze in het verleden ook vaak genoeg de kop heeft gekost). Privacy zal in ieder geval niet de reden zijn waarom ze weinig van de GDPR zullen afwijken. Zoals bij het hele onderhandelingsproces al wel duidelijk werd wil het VK niet de lasten maar wel de lusten van de EU. M.a.w. ze willen niet de wet- en regelgeving maar wel binnen de handelszone blijven. Als je in de EU producten en diensten wil verkopen zul je je toch echt aan de GDPR moeten houden. De reden zal dus eerder economisch van aard zijn.

Ik zou in ieder geval niet stellen dat er na 2020 niets veranderd. In 2020 veranderd er al iets aangezien de UK twee stuks GDPR kent (vanaf 31 jan): de EU variant en de UK variant. Na 2020 zal die laatste overblijven en tijd zal moeten gaan uitwijzen wat daar in de toekomst nog van overblijft. Dat is ook exact waar de Britse toezichthouder op wijst:
It is not yet known what the data protection landscape will look like at the end of the transition period and we recognise that businesses and organisations will have concerns about the flow of personal data in future.
Bron: zie link in het artikel.

[Reactie gewijzigd door ppl op 29 januari 2020 17:12]

Ik zou in ieder geval niet stellen dat er na 2020 niets veranderd. In 2020 veranderd er al iets aangezien de UK twee stuks GDPR kent (vanaf 31 jan): de EU variant en de UK variant. Na 2020 zal die laatste overblijven en tijd zal moeten gaan uitwijzen wat daar in de toekomst nog van overblijft. Dat is ook exact waar de Britse toezichthouder op wijst:
Nee. Ze hebben één nationale wetgeving die is gebaseerd op de GDPR, net zoals Nederland de AVG heeft. Daar verandert niet aan op 1 februari. Ze zijn vanaf 1 februari alleen vrij om deze wet zodanig aan te passen dat deze niet meer aan de GDPR richtlijn voldoet. Omdat de afspraak is dat EU-regelingen voor EU-onderdanen nog blijven gelden tijdens de transitieperiode, is het het minst gecompliceerd wanneer de nationale wetgeving tot het einde van de transitieperiode nog niet af gaat wijken van de richtlijn.
GDPR is goeddeels gemodelleerd naar britse wetgeving... en Britse wetgeving is waar nodig aangepast aan GDPR net als de overige landen in de EU.
Wat jij aanhaalt als provacy & camera toezicht valt ongetwijffeld on der de uitzonderingen die volgens GDPR gemaakt mogen worden.

Dus er zullen wetswijzigingen nodig zijn om dat weer anders te maken.
idd ze zullen veel EU klandizie verliezen als GDPR niet gehandhaafd wordt. Er is NOG geen "safe harbour" overeenkomst zoals met de US dus vallen ze dan in hetzelfde bakje als China en co.

Het kon wel een een heel druk brits parlementair jaar worden.
Ik stel ook zeker niet dat er niets kan veranderen, ik noem enkel de intentie van zowel het VK als de EU om op het gebied van privacy niet substantieel af te wijken van bestaande wetgeving, waardoor de weg naar een adequaatheidsbesluit of een privacy shield constructie open ligt.

Ze moeten dat alleen wel nog voor elkaar krijgen voor 2021. Anders kan de wetgeving nog zo goed zijn, dan blijft het een derde land en mag er niet zomaar meer gehandeld worden in data. Dan moeten bedrijven veel voorbereidingen doen om een andere manier te vinden.
Dit is op zich geen nieuws. Tijdens de transitiefase blijven alle op EU directives gebaseerde wetten van kracht.
Volgens deze bron klopt dat niet. Er schijnt een UK-GDPR te bestaan waarbij het hoogste orgaan in het VK is (in plaats van in de EU). Verder wijkt de UK-GDPR ook af voor immigranten. Schijnbaar geen bescherming voor immigratie gerelateerde data.
EU wetgeving gaat boven nationale wetgeving. Wat er hier gebeurd is dat alle EU wetgeving per 31/01/2020 wordt omgezet in nationale wetgeving. Dus UK-GDPR is niks anders dan gewoon GDPR. En op 31/12/2020 weten we hoe de nieuwe EU-UK relatie is en dan zal alles weer worden herzien.
Het VK was op basis van de GDPR verplicht om nationale wetgeving te maken die voldeed aan de minimumeisen die in de GDPR zijn opgesteld. Dat geldt voor alle EU-landen. In Nederland is die nationale wet de AVG geworden.
Wanneer het VK uit de EU treedt, is het VK niet meer gebonden aan die verplichting (datzelfde geldt voor alle nationale wetgeving die naar aanleiding van EU-richtlijnen is opgesteld). Ze zijn vrij om de nationale wetgeving aan te passen, maar in de transitieperiode kunnen EU-onderdanen zich nog wel op de richtlijn beroepen. De meest zinnige en eenvoudigste situatie is dus om al die op EU-richtlijnen gebaseerde nationale wetgeving tijdens de transitieperiode in stand te houden en die tijd gebruiken om na te gaan óf, en zo ja hoe, ze de nationale wetgeving aan willen passen.
De kans is heel groot dat veel, zo niet de meeste wetgeving die gebaseerd is op EU-richtlijnen gehandhaafd blijft en hooguit minimaal aangepast wordt.
Een detail misschien, maar ik vind dit iets te kort door de bocht. Het zal afhangen van het akkoord tussen de EU en het VK over de uiteindelijke relatie. Alle directives uit Brussel hebben op een of andere manier te maken met de vrije markt. Hoe meer het VK daar toegang toe wil hebben, hoe minder vrijheid het heeft om eigen regels te maken.

Dat gezegd hebbende, het zou vreemd zijn om 40 jaar lid te zijn van een club en dan alles weg te gooien wanneer je eruit stapt.
Klopt. Dan worden ze niet meer door richtlijnen gebonden, maar door verdragen.
Dat doe je toch als je gaat scheiden? Als ben je 100 jaar bij elkaar. Bij een scheiding gooi je alles weg.
Ik niet. En mijn ex ook niet.
Ik ben niet gescheiden, maar het lijkt mij dat je dan opnieuw een nieuwe relatie zult moeten opbouwen met nieuwe afspraken.
Ik zit in een scheiding. Het hangt ervan af hoe je erin staat. Sommige zullen inderdaad alles achter zich verbranden. Anderen zullen respect hebben voor hun vroegere keuzes en gewoon behouden wat goed is.
Een quote uit de bron:
After the Withdrawal Agreement ends, the UK will formally be independent from the EU and the EU’s General Data Protection Regulation (GDPR) that has governed the processing of personal data in all member states since May 2018 will cease to apply domestically in the UK.

To avoid being classified by the European Union as a third country (i.e. a nation with a less than adequate level of data protection that disqualifies it to enjoy free flow of data with the EU), the new UK-GDPR will take effect on Exit Day January 31, 2020.
Ik heb geen idee wat wel klopt en wat niet. Ik zie wel dat de bron iets totaal anders zegt dan wat hier wordt gezegd.
Je mist een belangrijk stukje uit je bron die zowel @K-aroq als @pepsiblik gelijk geven. Zoals je zelf in je eigen citaat al laat zien geldt de EU wet- en regelgeving zolang de Withdrawal Agreement loopt. Pas als deze afloopt zijn ze van EU wet- en regelgeving af. Het stukje die je mist betreft de loopduur van die Withdrawal Agreement (het is zo'n beetje de eerste alinea van je bron):
Well, the United Kingdom is leaving the European Union on January 31, 2020 and by that time, the Withdrawal Agreement passed in the Parliament in December 2019 will take effect and run until December 31, 2020.
Zoals je kunt lezen is die Withdrawal Agreement vanaf 31 jan 2020 t/m 31 dec 2020 geldig. Per 1 jan 2021 zijn ze er vanaf en geldt EU wet- en regelgeving niet meer in de UK.

Een ander stuk die je mist uit je bron is heel wat explicieter:
The new UK-GDPR will then sit alongside the European GDPR, which will still apply just as before to the UK up until December 31, 2020.
Daar staat dus gewoon letterlijk wat de andere 2 heren hier aangeven. Je bron zegt dus helemaal niet iets anders dan wat er hier wordt gezegd ;)
Behalve dat de UK GDPR (UK Data Protection Act) ondanks dat die hetzelfde zal zijn niet automatisch betekent dat het VK op de lijst van adequate landen komt. Daarvoor zijn onderhandelingen nodig die klaar zijn voor 31-12-2020.
Nee normaal gezien zijn het enkel financiële wetten en vrijheid van mensen en verkeer.al de rest is niet vastgelegd.
Zo hebben ze gisteren beslist om de uploadfilterwet niet toe te passen in ik ,en dat mag want het is geen wet dat met geld of vrije verkeer te maken heeft.
Ik heb dat niet nagekeken, maar dat zou er mee te maken kunnen hebben of de Europese wet een verordening (regulation, zoals de AVG/GDPR) of een richtlijn (directive) is. Dat uploadfilter maakt onderdeel uit van de nieuwe copyright richtlijn. Een verordening is direct verbindend, maar een richtlijn moet worden omgezet in nat. wetgeving waarbij de bepalingen dienen als doel en richtinggevend kader. Die richtlijn is afgelopen jaar pas van kracht geworden en heeft dan vervolgens een bepaalde omzettingsduur (vaak twee jaar). Het VK kan daarom nu besluiten om die richtlijn, die waarschijnlijk toch pas van kracht wordt na de verwachte afloop van de transitieperiode, niet om te zetten in nat. wetgeving, maar een wet te ontwerpen op basis van eigen principes en uitgangspunten. Dat omzetten geldt dus niet voor de AVG die blijft onverlet tot aan het einde van de transitieperiode, ook al heeft dat niets met geld of vrij verkeer te maken.

[Reactie gewijzigd door FilipSP op 29 januari 2020 22:31]

Het eigenaardige was dat zonder hun stem de uploadwet niet goedgekeurd was.ze waren een voortrekker,en plots willen ze het niet in hun eigen land... Het lijkt wel alsof ze EU dan altijd proberen dwarsbomen hebben
Het is speculeren van mijn kant, maar de leidende conservatieve partij telt nogal een groot aantal figuren die hun oren erg laten hangen naar het Amerikaanse bedrijfsleven, of het nu gaat om finance, medisch en wellicht ook tech. Johnson zelf is daar een beetje ambigu in, maar dat is wellicht een verklaring dat ze over dat uploadfilter nog eens flink gaan nadenken. Overigens is het voor met name Londen niet heel erg vreemd dat men daar wat anders zegt en doet dan wanneer ze aan een Europese tafel zitten. :) Er is een hele beroemde scene in de jaren ´80 comedy serie Yes Minister waarin de hoogste ambtenaar uitlegt aan de minister hoe ze in Brussel tamelijk willekeurig partij kiezen en steunen op die manier dat ze zelf zoveel mogelijk vrijheid hebben om te doen en vooral te laten.

[Reactie gewijzigd door FilipSP op 30 januari 2020 09:59]

Gaat het dan niet gewoon over naar het Data Protection Act van 2018 (Britse interpretatie van GDPR) en anders die van 1998?
Die Data Protection Act van 2018 is ook nu al het enige waar je mee te maken hebt in Engeland, net zoals je in Nederland alleen met de AVG te maken hebt. Die Data Protection Act van 2018 is nationale wetgeving die ook na 1 februari gewoon van kracht blijft.
Ze zijn na de uittreding echter niet meer aan de GDPR gebonden, waardoor ze in het normale wetgevende proces van het VK de wet zodanig aan kunnen passen waardoor deze niet meer aan de GDPR voldoet.
Als je eenmaal de transitie naar GDPR gemaakt hebt (als bedrijf) is het dan niet goedkoper om dat zo te houden?
Conformeren aan wetgeving zoals het GDPR is in sommige gevallen een continu process met x FTE aan doorlopende kosten. Voor een kleine webshop zal het niet boeien, maar een zorgverzekeraar kan zo tonnen per jaar besparen als de GDPR overboord gaat.
Wellicht kunnen ze besparen maar dat geld enkel voor bedrijven die diensten aanbieden enkel binnen de VK. Zodra ze hun dienst willen aanbieden in Europa zullen ze toch echt aan de GDPR moeten voldoen, of een variant die daaraan gelijk staat.
En dan krijg je hetzelfde verhaal als met VSA. Dat ze moeten voldoen aan europees recht en aan locaal recht, die mekaar vierkant tegenspreken.

Gewoon vanaf 01/01/2021 het VK wantrouwen zoals iedere ander niet EU lid, want je kan niet langer beroep doen op het europees hof in geval van een geschil. Dus Europese partners zoeken ipv Britse.

[Reactie gewijzigd door klakkie.57th op 29 januari 2020 21:39]

De bekende term hiervoor is het "Brussels Effect". Voor een heleboel bedrijven geldt dat ze aan de Europese regels moeten voldoen om in de EU zaken te doen, en dat het de moeite niet is om voor andere landen uitzonderingen te maken.
Dat geldt alleen wanneer er een privacy-wetgeving wordt aangenomen die op alle punten minder ver gaat dan de GDPR.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee