Het MKB dreigt massaal de privacyregels te gaan schenden als het Verenigd Koninkrijk de EU verlaat zonder afspraken, meldt het FD. Veel bedrijven weten niet dat ze bij een brexit zonder deal aparte contracten moeten sluiten voor het verwerken van persoonsgegevens, geeft werkgeversorganisatie VNO-NCW aan.

Bedrijven lijken over het algemeen goed op de hoogte van de meest urgente problemen bij een no-dealbrexit, zoals grote vertragingen. Dat concludeert VNO-NCW, die samen met MKB-Nederland bijeenkomsten organiseert over de brexit.

Wat de impact is op online ondernemen, is echter veel minder bekend. Persoonsgegevens kunnen niet meer zomaar worden uitgewisseld met Britse vestigingen of worden bewaard in een Brits datacentrum. Ook bij uitbesteding van salaris- of personeelsadministratie aan een bedrijf in het Verenigd Koninkrijk veranderen de regels. Dat realiseren veel bedrijven zich niet.

Boetes tot een half miljoen

Het Verenigd Koninkrijk valt bij een vertrek zonder afspraken niet langer onder de EU-brede regeling voor de bescherming van persoonsgegevens. Europese bedrijven moeten daarom in aparte contracten vastleggen welke persoonsgegevens ze delen met het eiland en waarom. Anders volgen boetes. De maximale boete voor het overtreden van de regels is € 525.000.

Britten mogen wel persoonsgegevens blijven sturen

Britse bedrijven mogen zelf wel persoonsgegevens met de EU blijven uitwisselen als het tot een brexit zonder deal komt. De Britse overheid accepteert de Europese dataregeling als een veilige norm voor bescherming. Andersom geldt dat niet: bij een no-dealbrexit moet eerst in een procedure worden vastgesteld of het VK de persoonsgegevens voldoende beschermt. En die kan zomaar twee jaar of langer duren. Pas daarna kunnen persoonsgegevens eventueel zonder aparte afspraken worden uitgewisseld. Stappen de Britten wel met een deal uit de EU, dan hoeven tot eind 2020 nog geen extra maatregelen te worden genomen. VNO-NCW kwam er zelf ook achter dat er actie moet worden ondernomen: ‘Ons systeem om persberichten uit te sturen blijkt zijn gegevens op te slaan in het Verenigd Koninkrijk.’

Contract kost enkele uren werk

Veel werk hoeft het sluiten van aparte overeenkomsten niet te kosten: contractueel vastleggen welke gegevens bedrijven verzamelen, en voor welk doel, was voor de huidige privacyregels ook al nodig. Verder bestaan er Europese standaardcontracten, waardoor het werk tot enkele uren beperkt blijft. ‘In ieder geval als het gaat om data-uitwisseling binnen één concern’, zegt advocaat Jurriaan Jansen. Bedrijven met vestigingen in zowel het VK als de EU kunnen werken met een ‘intragroep’-contract.