De EU-lidstaten hebben zich achter besluiten geschaard om het belemmeren van gegevensstromen na het vertrek van Groot-Brittannië uit de EU te voorkomen. Dat las ik bij Tweakers, en ik moest het ook twee keer lezen. Voor de juristen: we zijn een stapje dichterbij een adequaatheidsbesluit voor het Verenigd Koninkrijk, wat zou betekenen dat er zonder aanvullende bijzondere maatregelen persoonsgegevens in die unie mogen worden opgeslagen. De keuze roept wel vele vragen op, vooral omdat het VK bekend staat om haar massadataspionage die ze deelt met onder meer de Verenigde Staten.

Het plan hiertoe werd al in februari opgevat als een logisch gevolg van de Brexit: zonder een besluit als dit mogen in principe geen persoonsgegevens vanuit de EU naar het VK. Je moet dan gaan werken met de ingewikkelde Standard Contractual Clauses én je moet dan zelf nagaan of het VK veilig genoeg voor jou is. Een adequaatheidsbesluit lost dat op, omdat de Europese Commissie dan zelf verklaart dat het wel goed zit in het VK. De AVG zegt dat je dan niet zelf nog aanvullende controles uit hoeft te voeren. (Een verwerkersovereenkomst bij een Engelse IT-leverancier blijft wel vereist, maar dat is niet anders dan bij een Duitse of Italiaanse.)

De parallel met de Verenigde Staten doet zich meteen voor. Op grond van de Privacy Shield overeenkomst mocht je ook zonder nadere maatregelen data in de VS stallen (dat was geen adequaatheidsbesluit maar dat is iets voor de echte puristen). Daar is natuurlijk een streep door gehaald waarna iedereen met de handen in het haar zit hoe het gebruik van Amerikaanse diensten (van zeg Mailchimp tot Amazon) nog recht te breien.

Deze versturen we 3-4x per jaar.