Alles wat u moet weten over de wet inzake gegevensgebruik en -toegang

Alles wat u moet weten over de Wet op gegevensgebruik en -toegang

Door Rebecca Harper • 22 September 2025

De nieuwe Data Use and Access Bill (DUAA) van het Verenigd Koninkrijk ontving op 19 juni 2025 koninklijke goedkeuring en markeert een vernieuwing van de wetgeving inzake gegevensbescherming en de digitale economie van het land. De wet is ontworpen om innovatie te bevorderen, het vertrouwen in datagestuurde systemen te vergroten en de naleving ervan te vereenvoudigen, en introduceert uitgebreide hervormingen in zowel de publieke als de private sector.

Voor bedrijven kunnen de wijzigingen bepaalde administratieve lasten verlichten, zoals verzoeken om inzage in gegevens van betrokkenen (DSAR's) en cookies, terwijl ze de lat hoger leggen op andere gebieden, zoals transparantie, marketingtoestemming en handhaving. Deze blog legt uit wat er verandert en biedt praktische stappen om organisaties te helpen zich voor te bereiden.

Waar DUAA staat: het wijzigt, niet vervangt

De wet vervangt de Britse AVG of de Data Protection Act 2018 niet; in plaats daarvan wijzigt en vult ze beide aan. Ze actualiseert ook belangrijke bepalingen van de Privacy and Electronic Communications Regulations (PECR), met name met betrekking tot toestemming voor cookies en elektronische marketing.

Samen beogen deze hervormingen een "bedrijfsvriendelijker en innovatiegericht dataregime" te creëren, terwijl de kernprincipes van gegevensbescherming voor individuen behouden blijven. De wisselwerking tussen deze kaders betekent echter dat organisaties zorgvuldig door het nieuwe landschap moeten navigeren.

Belangrijke veranderingen die bedrijven moeten weten

Erkende legitieme belangen

De wet introduceert een nieuw concept: "erkende gerechtvaardigde belangen". Dit zijn specifieke doeleinden waarvoor organisaties persoonsgegevens kunnen verwerken zonder een volledige beoordeling van gerechtvaardigde belangen (LIA) te hoeven uitvoeren. Voorbeelden hiervan zijn het voorkomen van criminaliteit, het beschermen van de nationale veiligheid, het handhaven van de openbare veiligheid, het reageren op noodsituaties, het beschermen van kwetsbare personen en het verstrekken van informatie aan een persoon die een taak van openbaar belang uitvoert.

Daarnaast bevat de wet ook voorbeelden van gewone legitieme belangen waarvoor nog steeds de standaardtest met drie onderdelen nodig is: doel, noodzaak en een afwegingstoets met vastgelegde motivering. Hieronder vallen activiteiten als direct marketing, intragroepsbeheer en netwerk- of informatiebeveiliging.

Waar het op neerkomt, is dat dit weliswaar de administratieve rompslomp voor sommige vormen van gegevensgebruik vermindert, maar de verplichting om de rechten van betrokkenen te respecteren niet wegneemt. Het blijft essentieel om ervoor te zorgen dat de verwerking noodzakelijk en proportioneel is.

Internationale gegevensoverdrachten

De drempel voor internationale gegevensoverdracht is verlaagd. In plaats van te eisen dat de bescherming "in wezen gelijkwaardig" is aan de Britse AVG, moeten organisaties er nu voor zorgen dat de bescherming "niet wezenlijk lager" is.

Dit biedt bedrijven meer flexibiliteit in wereldwijde datastromen, met name wanneer ze samenwerken met partners in landen die niet onder de Britse adequaatheidsregelgeving vallen. Het legt echter ook meer verantwoordelijkheid bij de gegevensexporteur om de bescherming te beoordelen.

Exporteurs moeten een redelijke en proportionele aanpak hanteren, rekening houdend met de aard van de gegevens, de bestemming en de bijbehorende risico's. Als de lokale wetgeving tekortschiet, moet u aanvullende waarborgen implementeren, zoals encryptie, toegangscontrole en solide contractvoorwaarden, om ervoor te zorgen dat de gegevens beschermd blijven volgens een standaard die nog steeds acceptabel is volgens de Britse wetgeving.

Het is ook vermeldenswaard dat de EU de adequaatheidsstatus van het VK tijdelijk heeft verlengd tot 27 december 2025, waardoor data van de EU naar het VK kan blijven stromen terwijl de Europese Commissie haar evaluatie afrondt. Bedrijven die EU-data ontvangen, dienen de ontwikkelingen te volgen en contractuele terugvalopties te overwegen om verstoringen te voorkomen.

Verzoeken om toegang tot gegevens van betrokkenen (DSAR's)

De nieuwe wetgeving introduceert een bedrijfsvriendelijkere standaard voor DSAR's, die vereist dat zoekopdrachten "redelijk en proportioneel" zijn. Dit is een welkome verandering voor organisaties die voorheen worstelden met tijdrovende of buitensporige verzoeken. Het stelt bedrijven in staat zich te concentreren op het geven van zinvolle antwoorden, in plaats van het zoeken naar elke mogelijke gegevensbron.

Er is ook een nieuwe stop-de-klok-bepaling ingevoerd. Als u het verzoek moet verduidelijken, de identiteit van de aanvrager moet verifiëren of een vergoeding moet vragen (in geval van kennelijk ongegronde of buitensporige verzoeken), kan de reactietermijn van één maand worden uitgesteld totdat u de benodigde informatie ontvangt. Dit biedt u wat extra ruimte om complexe of onduidelijke verzoeken effectief te verwerken.

De kernverplichtingen blijven echter bestaan. Bedrijven moeten onverwijld reageren en duidelijke, toegankelijke informatie verstrekken aan betrokkenen, en ongerechtvaardigde vertragingen brengen nog steeds compliancerisico's met zich mee.

Cookies & Marketing (PECR)

Voor bepaalde soorten cookies, zoals cookies die worden gebruikt voor serviceverbetering of meting van het aantal bezoekers, is mogelijk geen toestemming meer nodig, op voorwaarde dat ze duidelijk worden uitgelegd en dat gebruikers de juiste informatie en controle krijgen.

Tegelijkertijd wordt de handhaving rond elektronische marketing aangescherpt. Boetes voor PECR-overtredingen zijn aangepast aan de Britse AVG, met boetes tot £ 17.5 miljoen of 4% van de wereldwijde omzet. Dit onderstreept de noodzaak voor bedrijven om hun toestemmingsbeleid te herzien, cookiebanners en privacyverklaringen bij te werken en te zorgen voor een solide interne documentatie voor marketingactiviteiten.

Geautomatiseerde besluitvorming en AI

De wet biedt organisaties die gebruikmaken van AI en geautomatiseerde besluitvorming (ADM) meer flexibiliteit door artikel 22 van de Britse AVG te vervangen door een nieuwe reeks bepalingen: artikelen 22A tot en met 22D. Deze wijzigingen maken een bredere toepassing van ADM mogelijk, met name in gevallen waarin de genomen beslissingen geen significante juridische of vergelijkbare substantiële gevolgen hebben voor personen.

ADM die echter significante effecten heeft, met name wanneer het om gegevens uit een bijzondere categorie gaat, blijft streng gereguleerd. In deze gevallen moeten organisaties nog steeds zorgen voor zinvol menselijk toezicht, duidelijke transparantie en passende waarborgen. ADM op basis van gegevens uit een bijzondere categorie vereist over het algemeen expliciete toestemming of moet voldoen aan specifieke voorwaarden die in de wetgeving zijn vastgelegd.

Slimme data en digitale ID's

De wet maakt de weg vrij voor sectorspecifieke 'Smart Data Schemes' waarmee consumenten en kleine bedrijven hun gegevens veilig en mobiel kunnen delen. Ook wordt een wettelijk vertrouwenskader voor digitale verificatiediensten (DVS) ingevoerd ter ondersteuning van het gebruik van geverifieerde digitale identiteiten in de economie.

Deze bepalingen zijn in dit stadium globaal genomen van toepassing; verdere details zullen via secundaire wetgeving worden vastgelegd.

Hervorming van de toezichthouder

De ICO wordt de Informatiecommissie, met uitgebreide onderzoeks- en handhavingsbevoegdheden. Deze omvatten het afdwingen van getuigenverklaringen, het verplicht stellen van technische audits en het opleggen van hogere boetes bij niet-naleving.

Sommige van deze nieuwe bevoegdheden traden twee maanden na de koninklijke goedkeuring in werking, terwijl andere geleidelijk worden ingevoerd via secundaire wetgeving. Organisaties moeten anticiperen op een assertievere regelgeving en zich hierop voorbereiden, door ervoor te zorgen dat governance, documentatie en interne processen auditklaar zijn.

Wat staat er op het spel voor bedrijven?

Hoewel sommige hervormingen de naleving vereenvoudigen, bijvoorbeeld door de lasten van DSAR's te verminderen of het gebruik van legitiem belang te verduidelijken, brengen andere meer toezicht door de toezichthouder en zwaardere sancties met zich mee. Dit gemengde beeld betekent dat bedrijven de wet niet moeten beschouwen als een versoepeling van de regels. In plaats daarvan is het een kans om datagovernance te moderniseren, risico's te verminderen en vertrouwen op te bouwen bij klanten, partners en toezichthouders.

Tijdlijn en gefaseerde uitrol

De wet werd in juni 2025 van kracht, maar niet alle bepalingen traden onmiddellijk in werking. De overheid heeft een gefaseerde inwerkingtreding bevestigd, met wijzigingen die in fasen van ongeveer 2, 6 en 12 maanden worden doorgevoerd. De Commencement No. 1 Regulations traden op 20 augustus 2025 in werking en omvatten specifieke technische en wettelijke bepalingen.

De meeste belangrijke updates van Deel 5 van de wet, waaronder wijzigingen in de Britse AVG, de Data Protection Act 2018 en PECR, zullen naar verwachting rond de zes maanden van kracht worden. Verdere updates zullen volgen via secundaire wetgeving en richtlijnen van toezichthouders.

Organisaties moeten op de hoogte blijven van nieuwe regelgeving omtrent de invoering van nieuwe ICO's, de communicatie van ICO's in de gaten houden en hun nalevingsactiviteiten plannen in lijn met de komende deadlines.

Uw 8-punten actieplan

Controleer uw rechtsgrondslagen

Breng in kaart waar de nieuwe erkende legitieme belangen van toepassing zijn en werk uw privacyverklaringen en RoPA's bij, zodat ze de werkelijkheid weerspiegelen.

Evalueer uw wereldwijde gegevensstromen opnieuw

Controleer overdrachtsmechanismen aan de hand van de nieuwe drempelwaarde 'niet wezenlijk lager'. Documenteer uw risicobeoordelingen voor overdrachten en houd een reserveoplossing voor EU-gegevens paraat.

Vereenvoudig DSAR-afhandeling

Train uw personeel om de ‘redelijke en evenredige’ toets toe te passen en bouw het nieuwe ‘stop-de-klok’-proces in voor identiteitscontroles of verduidelijkingen.

Ruim koekjes en marketing op

Vernieuw cookiebanners voor vrijstellingen met een laag risico, bekijk toestemmingsprocessen opnieuw en houd er rekening mee dat de PECR-boetes nu overeenkomen met de Britse AVG-normen. Goede doelen: controleer of de soft opt-in nu voor u werkt.

Controleer uw ADM- en AI-gebruik

Identificeer welke systemen tellen als significante geautomatiseerde besluitvorming. Implementeer zinvol menselijk toezicht, verkrijg waar nodig expliciete toestemming en stel gedocumenteerde waarborgen in.

Maak je klaar voor Smart Data

Kijk hoe sectorspecifieke programma's (zoals Open Banking) toepasbaar zijn in uw sector en of digitale verificatiediensten onderdeel kunnen worden van uw onboarding- of klantprocessen.

Versterk nu het bestuur

Nu de nieuwe Informatiecommissie de bevoegdheid heeft om interviews, audits en AVG-boetes op te leggen aan PECR, is dit het moment om het beleid, de bewijsvoering en de training aan te scherpen.

Blijf kijken

Houd de regelgeving en ICO-richtlijnen in de gaten voor de gefaseerde uitrol in de komende 2, 6 en 12 maanden. Geef prioriteit aan wijzigingen die als eerste van kracht worden.

Tot slot

De Data Use and Access Act 2025 is een keerpunt voor data governance in het Verenigd Koninkrijk. De wet biedt een balans tussen vereenvoudiging en verantwoording en biedt vooruitstrevende bedrijven de mogelijkheid om innovatie te omarmen zonder het vertrouwen in gevaar te brengen. Vroegtijdige voorbereiding vermindert niet alleen de risico's, maar helpt u ook de kansen te grijpen die slimmer en transparanter datagebruik met zich meebrengt.

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.