Home Ondernemen & Business Wat is de impact van de Brexit op zakelijke ICT?

Wat is de impact van de Brexit op zakelijke ICT?

43
Brexit

Op 29 maart 2019 stapt het Verenigd Koninkrijk officieel uit de Europese Unie. Er is nog geen deal. En er zijn nog een hoop onduidelijkheden over de impact van de Brexit. Een van de onderdelen waar Brexit mogelijk impact op heeft, is ICT. Kunnen bedrijven straks nog bedrijfsapplicaties gebruiken waarvan data in het Verenigd Koninkrijk wordt verwerkt? Het antwoord is waarschijnlijk ‘Ja’. Maar dan wel met een modelcontract onder de arm. Ook is het verstandig om bestaande contracten onder de loep te nemen.

Persoonsgegevens

Het ultimatum voor een Brexit-deal is op het moment vastgesteld op 15 maart 2019. Een van de grootste privacywetten in de EU op dit moment is de General Data Protection Regulation (GDPR), in het Nederlands ook wel de AVG (Algemene Verordening Gegevensbescherming) of simpelweg ‘privacywet’ genoemd. In een notendop zorgt deze wet ervoor dat persoonsgegevens binnen de EU goed en op eenzelfde niveau beschermd zijn. De wet geldt onder andere voor persoonsgegevens die opgeslagen of verwerkt worden binnen ICT-systemen.

Wat gebeurt er als het Verenigd Koninkrijk uit de EU stapt? Is de GDPR dan in Groot-Brittannië nog van toepassing? En wat gebeurt er bijvoorbeeld als Nederlandse bedrijven (persoons)gegevens verwerken op een serverlocatie in het Verenigd Koninkrijk?

No-deal

Als er geen deal komt, wordt het Verenigd Koninkrijk mogelijk als “derde land” bestempeld. “Als jouw bedrijf of je ICT-leverancier dan data doorgeeft moeten er extra afspraken gemaakt worden die waarborgen dat zij gegevens op dezelfde zorgvuldige wijze verwerken als moet op basis van de AVG binnen de Europese Unie”, vertelt Michelle Wijnant, juriste bij ICTRecht. “De AVG blijft namelijk niet zomaar rechtstreeks doorwerken als er geen deal komt.”

Al zou het volgens Michelle wel kunnen dat Engeland op termijn wordt aangemerkt als ‘veilig land’ door de Europese Commissie op basis van een adequaatheidsbesluit. Michelle: “Dat houdt in dat de Europese Commissie zegt dat het land ‘passende bescherming’ biedt in wat privacy betreft. Dit proces kan echter beste lang duren, dus op korte termijn hebben we er niet zo veel aan.”

Modelcontracten

Als er geen adequaatbesluit komt en als het Verenigd Koninkrijk als ‘derde land’ bestempeld wordt, betekent dit dat bedrijven bij een no-deal bedrijven bij een no-deal aanvullende juridische maatregelen moeten nemen.

Michelle: “Een tijdelijke oplossing voor nu is het sluiten van standaard modelcontracten met Engelse partijen die persoonsgegevens voor je verwerken. Dit zijn een soort van standaard verwerkersovereenkomsten die goedgekeurd zijn door de Europese Commissie. Als je zo’n modelcontract overeenkomt met een partij in een derde land, dan geeft deze partij aan zich te zullen houden aan de Europese privacywetgeving.”

Verwerkersovereenkomsten

“Bedrijven gebruiken doorgaans veel verschillende apps, waarvan een steeds groter deel in een datacenter in het buitenland staat. Het kan zijn dat bedrijven apps gebruiken die in een Engels datacenter draaien en dat ze daar straks ook persoonsgegevens of andere vertrouwelijke verwerken”, vertelt Linda Aaij, cloud specialist bij True.

“Zorg er dus altijd voor dat je beschikt over een verwerkersovereenkomst met jouw softwareleverancier, dit ben je op basis van de AVG namelijk verplicht. Zorg er ook voor dat je daarnaast goed weet waar je gegevens opgeslagen worden”, aldus Linda. “In de verwerkersovereenkomst of in de algemene voorwaarden van de softwareleverancier zijn de afspraken te vinden waar de leverancier data opslaat of verwerkt. Daarnaast is het altijd goed om even naar de website van de softwareleverancier te gaan en daar te kijken wat ze over hun locaties vermelden in de privacyverklaring. Iedere leverancier is namelijk verplicht om dit te melden”, zegt Linda.

Maatregelen nemen

Wat als software en data wel op servers staan in het Verenigd Koninkrijk. Of wellicht een ander ‘derde land’? “Ga dan in gesprek met je softwareleverancier of ICT-adviseur en ga samen na of er acties benodigd zijn. Maak jezelf bewust van ICT en zorg dat je als organisatie nooit voor verrassingen komt te staan. Vorm samen met je ICT-adviseur een ICT-kompas voor de komende jaren. ICT is in beweging en zal de komende jaren alleen maar meer blijven bewegen”, adviseert Linda.

Het advies van Michelle: “Gebruik voor nu de modelcontracten die beschikbaar zijn gesteld door de Europese Commissie en sluit deze met je Engelse leveranciers als aanvulling op de reeds gesloten verwerkersovereenkomsten. Daarnaast is het van belang dat je betrokkenen informeert wanneer je hun gegevens buiten de EU verwerkt. Dit betekent dat je je privacyverklaringen moet aanpassen wanneer het Verenigd Koninkrijk een ‘derde land’ wordt. Pas ook eventuele interne privacydocumenten hierop aan, zoals bijvoorbeeld je verwerkingsregister en houd goed in de gaten of je je nog wel aan de afspraken houdt die je wellicht zelf met (zakelijke) klanten hebt gemaakt.”

Naast privacyzaken is het volgens Michelle ook slim om te checken of er nog andere zakelijke ICT-onderwerpen relevant zijn bij een no-deal Brexit. Michelle: “Denk aan bijvoorbeeld veranderingen qua merkenrecht. Of auteursrecht of btw (wat anders berekend kan gaan worden).”

De modelcontracten zijn te downloaden op de website van de Europese Commissie. Daarnaast is meer informatie over de Brexit, en wat te doen qua omgang met persoonsgegevens te vinden op de website van Autoriteit Persoonsgegevens.

Dat mag wat mij betreft True worden (wel met kleine letters graag). Is het mogelijk om te linken naar True?

Dit artikel verscheen eerder op de website ​van True

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here