Uitwisseling en verwerking van persoonsgegevens is met de inwerkingtreding van de AVG per 25 mei 2018 opeens weer een actueel onderwerp geworden voor pensioenfondsen. Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) heeft Nederland wellicht de strengste wetgeving ter wereld op dat gebied geïmplementeerd. In de praktijk maakt dat op het eerste gezicht niet zo heel veel uit want het is nog steeds toegestaan om met alle landen uit de Europese Unie (EU) plus Noorwegen, Liechtenstein en IJsland persoonsgegevens uit te wisselen. Deze landen hebben met betrekking tot de verwerking van persoonsgegevens een gelijkwaardig ‘veilig’ beschermingsniveau. Daarnaast is er een aantal landen die een zogenaamde ‘veilige status’ hebben waar ook uitwisseling (verwerking) van persoonsgegevens mee mag plaatsvinden (1). Waar wordt het nu ‘spannend’?
U zou denken dat er tussen het moment voor en na een no-deal Brexit geen materiële verschillen zullen zitten in de omstandigheid van uw bedrijfsvoering en het laten verwerken van gegevens in het Verenigd Koninkrijk (VK). Echter de wettelijke omstandigheid wordt wel direct anders. Op het moment dat het VK zonder nadere afspraken uit de EU stapt, zal de AVG daar niet meer van toepassing zijn. Bij deze zogenaamde no-deal Brexit wordt het VK vanaf die datum formeel een “derde land”. Voor een derde land geldt dat het beschermingsniveau alleen op gelijk niveau aan de EU is als de Europese Commissie (EC) dit ook expliciet maakt in een besluit. Het zou ons niet verbazen als een formeel besluit rondom het adequaat zijn van het beschermingsniveau in het VK een jaar of langer in beslag zal nemen. Ook als er in het VK na een Brexit niets wezenlijks veranderd is aan het beschermingsniveau. Hieruit volgt dat het antwoord op de vraag of de Brexit ook het einde is van de ‘veilige status’ in ieder geval beantwoord wordt met een ‘ja’.
Een en ander betekent dat u ‘nu’ zelf maatregelen moet treffen ten aanzien van verwerkingen in het VK en dat dit haast heeft. Bij een no-deal Brexit zijn de Europese afspraken omtrent privacy na 12 april 2019 niet meer van toepassing op de relatie tussen de EU en het VK en daarmee ook de werking van de AVG. Zelfs als er op de valreep nog een Brexit deal wordt gesloten, krijgt u te maken met een overgangsperiode van maximaal twee jaar en daarna vervalt de AVG voor het VK alsnog. Als er dan nóg geen besluit is genomen rondom de adequaatheid van het beveiligingsniveau van het VK, dan heeft u ook eigen maatregelen nodig.
In de AVG is een aantal maatregelen opgenomen die u kunt gebruiken om aantoonbaar te kunnen blijven voldoen aan uw verplichtingen rondom privacybescherming en dat begint met een inventarisatie. Op basis van uw inventarisatie van verwerkingen en uw registers verkrijgt u duidelijkheid omtrent welke verwerkingen geraakt worden, wat daar de grondslag van is en welke overeenkomsten u al heeft met derden rondom verwerkingen. Let daarbij ook op de verwerkingen ‘verderop in de keten’. Op dat moment heeft u al een redelijk beeld welke mogelijkheden u heeft en welke stappen u moet zetten.
De gezamenlijke toezichthouders geven u via de AVG een vijftal mogelijkheden om een en ander zelfstandig te regelen. De mogelijkheden zijn:
EU Modelclausules: dit zijn standaard-contractuele-bepalingen op basis van de strenge EU regelgeving die door de EC zijn goedgekeurd. Als u deze ongewijzigd gebruikt, gelden deze als ‘passende waarborg’. Dit instrument is voor veel ondernemingen (waaronder pensioenfondsen) en bij niet al te complexe verwerkingen in het VK een geschikt en ook snel uitvoerbaar hulpmiddel.
Binding Corporate Rules (BCRs): dit zijn bindende Bedrijfsvoorschriften die, binnen de context van een organisatie met een buitenlands onderdeel, zijn goedgekeurd door de toezichthouder (in dit geval, de Autoriteit Persoonsgegevens (AP)). Als uw verwerker een in het VK gesitueerd buitenlands onderdeel is van een organisatie in Nederland, dan zijn de BCRs een zeer probaat middel. Dit staat verder los van de verplichting om óók een verwerkersovereenkomst af te sluiten met de verwerker. Als uw verwerker de BCRs niet al heeft geïmplementeerd dan zijn BCRs op korte termijn geen optie. Het verkrijgen van een BCR-verklaring vanuit de toezichthouders is een langdurig traject, vaak van jaren. Met name grote bedrijven met veel internationale vestigingen en complexe verwerkingsstructuren hebben de BCRs geïmplementeerd. U zult dus bij uw verwerkers moeten nagaan of zij dit kunnen bieden, respectievelijk dat zij dit binnen de verwerkingsketen kunnen garanderen. Mocht dat niet het geval zijn dan is deze mogelijkheid geen optie.
Gedragscodes: een sector (bijvoorbeeld de pensioensector) kan door middel van een privacy gedragscode beschrijven hoe er binnen de sector wordt omgesprongen met persoonsgegevens. Organisaties binnen de sector kunnen zich aansluiten bij de gedragscode en deze verplichten zich op dat moment om de gedragscode strikt na te leven. Echter een gedragscode moet wel eerst door de AP goedgekeurd worden en dat kost enige tijd. Als u de gedragscode over landen heen wil gebruiken naar een “derde land” dan moet deze ook door de overkoepelende Europese Privacy toezichthouder worden goedgekeurd via een advies aan de AP. Daarna zal de AP op basis van dit advies de gedragscode goed- of afkeuren. U zult begrijpen dat binnen de pensioensector in Nederland nog geen sprake is van een sectoraal door de AP goedgekeurde privacy gedragscode, dus is dit geen optie.
Certificering: via een zogenaamd AVG-certificaat kan een onderneming aantonen dat zij volgens de regels van de AVG aan bepaalde eisen voldoet. De certificaten worden uitgegeven door instellingen die daarvoor geaccrediteerd zijn door de Raad voor Accreditatie (RvA). Echter op dit moment zijn er geen geaccrediteerde certificatie-instellingen in Nederland. Ook dit is geen optie bij een no-deal Brexit.
In bepaalde, uitzonderlijke en noodzakelijke situaties zonder werkbaar alternatief is de doorgifte van persoonsgegevens toegestaan zonder een van de bovenstaande maatregelen te nemen. Dat klinkt mooi, maar in de praktijk is het bijkans onuitvoerbaar. Het gaat namelijk om uitzonderlijke en incidentele (niet repeterende) gevallen waarbij de betrokkenen (uw deelnemers) expliciet toestemming geven voor dat ene uitzonderlijke geval. Het eerste, de noodzakelijkheid, is veelal al lastig aan te tonen en het tweede, geen alternatief voorhanden, is vaak niet waar. De besteding van tijd, noch de moeite die het kost, of de investering van geld is normaliter een valide argument om geen gebruik te maken van een werkbaar alternatief. Het gaat immers om de bescherming van privacy dat als een zeer zwaarwegend recht wordt gekoesterd. De facto is de eerste optie van de modelclausules uw beste keus voor nu en in de toekomst.
Met alles wat er nu speelt zit er nog wel een addertje onder het gras voor wat betreft de uitwisseling en verwerking van persoonsgegevens met de Verenigde Staten van Amerika (VS). In de VS moeten organisaties aan het ‘Privacy Shield’ voldoen om te kwalificeren. Het Privacy Shield is een afspraak tussen de EU en de VS waarin organisaties in Amerika bevestigen dat zij de EU regelgeving omtrent privacy zullen volgen en de VS belooft om zich niet ‘zomaar’ toegang te verschaffen tot de gegevens die binnen die organisaties worden verwerkt. Die gegevens kunnen door de VS echter als relevant worden gekwalificeerd inzake ‘nationale veiligheid’ waardoor deze drempel vervalt. Onder het huidige politieke klimaat in de VS is iets al relatief snel een zaak van ‘nationale veiligheid’. Momenteel buigt de US Supreme Court zich over de vraag of Amerikaanse moedermaatschappijen alsnog die gegevens kunnen ‘ophalen’ bij hun Europese dochters. Als dit wordt toegestaan dan biedt ook het Privacy Shield niet meer de gewenste zekerheid omtrent de bescherming van privacy bij verwerkingen door VS dochter ondernemingen in de EU. Het is dus zaak om ook dáár een vinger aan de pols te houden en bij een inventarisatie dit alvast inzichtelijk te maken. Dat scheelt ‘straks’ waarschijnlijk kostbare tijd als er maatregelen moeten worden genomen.
Bijlage: de opties zoals beschreven door de gezamenlijke toezichthouders in de EU.
