Press "Enter" to skip to content

Brexit & ICT: “Zorg dat je onderneming voorbereid is”

Op 29 maart 2019 stapt het Verenigd Koninkrijk de Europese Unie. Er is nog steeds geen deal en er zijn nog veel vraagtekens. Zo is het bijvoorbeeld nog niet duidelijk wat er straks gebeurt met het privacyrecht en welke impact dit heeft op het gebruik van zakelijke ICT die vanuit een Brits datacenter geserveerd worden. Het advies voor ondernemers? “Sluit modelcontracten af met je softwareleverancier en neem je interne privacydocumenten onder de loep en pas ze eventueel aan”, vertelt juriste Michelle Wijnant van ICTRecht.

Gebruik van cloudapplicaties

Veel ondernemingen maken gebruikt van cloudapplicaties. Deze applicaties kunnen staan in een datacenter die in de Europese Unie staat. Indien dat zo is, heeft de softwareleverancier van de cloudapplicatie te maken met het Europese privacyrecht, ook wel de Algemene Verordening Gegevensbescherming genoemd in Nederland.

Bij een no-deal wordt de Brexit mogelijk bestempeld als ‘derde land’, wat direct gevolgen heeft voor als ondernemers persoonsgegevens verwerken via een datacenter in het Verenigd Koninkrijk. Michelle Wijnant (ICTRecht): “De AVG blijft namelijk niet zomaar rechtstreeks doorwerken als er geen deal komt. Als jouw bedrijf of je ICT-leverancier dan data doorgeeft moeten er extra afspraken gemaakt worden”.

Aanpassingen in privacyverklaring

Voor ondernemingen betekent dit dat zij eerst goed moeten kijken waar de cloudapplicatie wordt gehost. Indien dit in het Verenigd Koninkrijk is, moeten ondernemingen dit vermelden in privacyverklaringen en mogelijk nieuwe verwerkersovereenkomsten afsluiten met de softwareleverancier.

Al zou het volgens Michelle wel kunnen dat Engeland op termijn wordt aangemerkt als ‘veilig land’ door de Europese Commissie op basis van een adequaatheidsbesluit. Michelle: “Dat houdt in dat de Europese Commissie zegt dat het land ‘passende bescherming’ biedt in wat privacy betreft. Dit proces kan echter beste lang duren, dus op korte termijn hebben we er niet zo veel aan.”

Als tussenweg zijn er daarom door de Europese Commissie modelcontracten opgesteld. Wijnant: “Als je zo’n modelcontract overeenkomt met een partij in een derde land, dan geeft deze partij aan zich te zullen houden aan de Europese privacywetgeving.”

Buitenlands datacenter

“In de verwerkersovereenkomst of in de algemene voorwaarden van de softwareleverancier zijn de afspraken te vinden waar de leverancier data opslaat of verwerkt. Daarnaast is het altijd goed om even naar de website van de softwareleverancier te gaan en daar te kijken wat ze over hun locaties vermelden in de privacyverklaring. Iedere leverancier is namelijk verplicht om dit te melden”, geeft Linda Aaij, cloudspecialist bij True als tip. “De kans is aanwezig dat je onderneming gebruikmaakt van een applicatie die in een datacenter in het Verenigd Koninkrijk staat.”

Wat als blijkt dat dit het geval is? “Ga dan in gesprek met je softwareleverancier of ICT-adviseur en ga samen na of er acties benodigd zijn,” adviseert Linda.

Michelle: “Gebruik voor nu de modelcontracten van de Europese Commissie en sluit deze met je Engelse leveranciers. Daarnaast is het van belang dat je betrokkenen informeert wanneer je hun gegevens buiten de EU verwerk. Pas ook eventuele interne privacydocumenten hierop aan, zoals bijvoorbeeld je verwerkingsregister en houd goed in de gaten of je je nog wel aan de afspraken houdt die je wellicht zelf met (zakelijke) klanten hebt gemaakt.”

De modelcontracten zijn te downloaden op de website van de Europese Commissie. Daarnaast is meer informatie over de Brexit, en wat te doen qua omgang met persoonsgegevens te vinden op de website van Autoriteit Persoonsgegevens.

Dit bericht verscheen ook op de website van True.

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *