Brexit een feit: dit zijn de mogelijke gevolgen voor uw school

    0
    280

    De Brexit is een feit; het Verenigd Koninkrijk is uit de Europese Unie getreden. Dit betekent ook dat de Algemene Verordening Gegevensbescherming (AVG) komt te vervallen voor het Verenigd Koninkrijk. Vanaf 1 januari 2021 is deze Europese privacywetgeving niet meer van toepassing. Heeft uw school leveranciers uit het Verenigd Koninkrijk? Dan moet u mogelijk nieuwe afspraken maken over het uitwisselen van (persoons)gegevens. In dit artikel leest u er meer over.

    Maakt uw school gebruik van software of een app waarbij persoonsgegevens worden opgeslagen op een Britse server? Of heeft een Brits bedrijf toegang tot de persoonsgegevens van uw school? Dan is het belangrijk dat u goede afspraken maakt met deze leverancier. Omdat het Verenigd Koninkrijk niet meer tot de Europese Unie (EU) behoort, is de AVG vanaf 1 januari 2021 niet meer van toepassing. Scholen zullen in dit geval mogelijk nieuwe afspraken moeten maken met deze leveranciers.

    Mogelijke gevolgen voor scholen

    Op 29 januari 2020 heeft het Europees Parlement ingestemd met de Brexit-deal. Tijdens de onderhandelingen over een mogelijk vertrek uit de EU, zijn afspraken gemaakt in een concept-regeling (PDF). In deze regeling is een overgangsperiode opgenomen. Hierin is afgesproken dat het Verenigd Koninkrijk tot en met 31 december 2020 nog onder de AVG valt. 

    Maar wat gebeurt er na 31 december? Er bestaat een mogelijkheid dat een (nieuwe) Britse privacywetgeving een soortgelijk beschermingsniveau biedt als de AVG: de adequaatheidsbeslissing. De Europese Commissie beslist hier uiteindelijk over. Wanneer blijkt dat de (nieuwe) Britse privacywetgeving voldoet, dan hoeft u als school niets te doen. De voorwaarden, zoals die ook zijn opgesteld in de AVG, zullen dan ook na 31 december 2020 gelden.

    Adequaatheidsbesluit

    Maar hoe reëel is het dat dit adequaatheidsbesluit er daadwerkelijk komt? Dit is nog onduidelijk, maar de verwachting is dat dit besluit er niet tijdig komt. In dat geval moet u tijdig met uw leveranciers in het Verenigd Koninkrijk afspraken maken over het uitwisselen van persoonsgegevens. Hiervoor kunt u het voorgeschreven modelcontractbepalingen van de Europese Commissie gebruiken. Daarnaast is het goed om na te gaan welke maatregelen leveranciers hebben genomen na de Brexit en of u de diensten van deze leverancier(s) kunt blijven gebruiken.

    Verdrag gegevensuitwisseling

    Met het oog op de nationale veiligheid heeft het Verenigd Koninkrijk, voorafgaand aan de Brexit, een verdrag gesloten met de Verenigde Staten. In dit verdrag staan afspraken over de uitwisseling van gegevens tussen het Verenigd Koninkrijk en de Verenigde Staten.

    Tijdens de overgangsperiode van de Brexit, is met dit verdrag een opening gecreëerd tussen de EU en het Verenigd Koninkrijk, ongeacht hoe partijen iets hebben afgesproken. Deze ontwikkelingen zijn mogelijk ook van invloed op de nieuwe privacywetgeving tussen het Verenigd Koninkrijk en de Europese Unie.

    Advies

    Zoals u leest, is nog lang niet alles duidelijk over de gevolgen van de Brexit voor scholen in Nederland. Dat neemt niet weg dat u nog niets hoeft te doen. Ons advies is daarom om goed stil te staan bij de mogelijke consequenties van de Brexit voor uw school. Wat u sowieso kunt doen is het volgende:

    • Breng in kaart of uw school leveranciers heeft in het Verenigd Koninkrijk
    • Welke gegevens worden door deze leveranciers in het Verenigd Koninkrijk verwerkt?
    • Maak goede afspraken over het uitwisselen van persoonsgegevens met deze leveranciers. Voorkom dat gegevensverwerking plaatsvindt in het Verenigd Koninkrijk.
    • Wees terughoudend met leveranciers uit het Verenigd Koninkrijk.
    • Blijf op de hoogte van de ontwikkeling van de Brexit en het adequaatheidsbesluit.

    Ook goed om te weten zijn de gevallen wanneer u niets hoeft te regelen:

    • U wisselt geen persoonsgegevens uit met het Verenigd Koninkrijk
    • U ontvangt uitsluitend persoonsgegevens uit het Verenigd Koninkrijk
    • U heeft wel een leverancier in het Verenigd Koninkrijk, maar die heeft geen toegang tot persoonsgegevens. Bijvoorbeeld: u gebruikt software van een Britse leverancier, maar die software is geïnstalleerd op de Nederlandse server van de school. De leverancier heeft dus geen toegang tot die server. De persoonsgegevens vallen in dat geval gewoon onder de bescherming van de AVG.