Navigeren door compliance: inzicht in de implicaties van de Brits-Amerikaanse Data Bridge-overeenkomst

Door René Millman • 27 juni 2023

De Britse en Amerikaanse regeringen zijn onlangs overeengekomen om een nieuwe databrug op te zetten, gebaseerd op de nieuwe Data Act van het Verenigd Koninkrijk, om de stroom van persoonlijke gegevens tussen de twee landen te vergemakkelijken. Deze overeenkomst vertegenwoordigt een Britse uitbreiding van het Data Privacy Framework dat in 2022 tussen de EU en de VS is overeengekomen.

De databrug zal verschillende voordelen bieden voor Britse bedrijven en organisaties, waaronder het versnellen van processen, het verlagen van de kosten en het vergroten van de kansen voor internationale handel. In 2021 was 93% van de Britse dienstenexport datagestuurd, waarbij ruim £79 miljard naar de VS werd geëxporteerd. Door het wegnemen van lastige administratieve rompslompMen hoopt dat de databrug de economische groei in beide landen zal stimuleren.

Vanuit een regelgevend en compliance-perspectief moeten Britse bedrijven en organisaties zich voorbereiden op deze nieuwe overeenkomst en de implicaties ervan begrijpen.

Voorbereiding op de nieuwe overeenkomst: regelgevings- en nalevingsvereisten

De Britse uitbreiding van het Data Privacy Framework creëert een ‘databrug’ tussen Groot-Brittannië en de VS, waardoor kostbare contractclausules worden geëlimineerd voor Britse bedrijven die persoonlijke gegevens doorgeven aan Amerikaanse dienstverleners. Britse bedrijven moeten de vereisten begrijpen voor het opzetten van de databrug om te voldoen aan regelgevings- en compliancenormen.

De UK-US Data Bridge Agreement heeft gevolgen voor de gegevensverwerking en de privacypraktijken van Britse bedrijven. Het beschermt Britse betrokkenen, verlaagt de nalevingskosten en biedt flexibiliteit bij het beheer van persoonlijke gegevens. Er doen zich echter uitdagingen en risico's voor, waaronder zorgen over de impact ervan op de Britse toepassing van het AVG-toereikendheidsbesluit.

Onder de nieuwe databrug kunnen Amerikaanse bedrijven die toestemming hebben gekregen om aan het raamwerk deel te nemen, persoonlijke gegevens uit Groot-Brittannië ontvangen. De geschiktheidstest onder de Britse AVG vereist dat de minister ervan overtuigd is dat de Britse gegevensbeschermingsnormen onder de Britse AVG niet worden ondermijnd wanneer persoonlijke gegevens naar een ander land worden overgedragen.

Om te voldoen aan de regelgeving en nalevingsnormen moeten Britse bedrijven en organisaties begrijpen aan welke vereisten moet worden voldaan voordat de databrug tot stand kan worden gebracht. Ze moeten ook hun nalevingsverplichtingen onder de nieuwe overeenkomst onderzoeken en stappen ondernemen om zich aan deze normen aan te passen.

Gevolgen voor de gegevensverwerking en privacypraktijken van Britse bedrijven

De overeenkomst heeft tot doel Britse betrokkenen te beschermen, de handel te bevorderen en de nalevingskosten te verminderen. Het introduceert een grotere flexibiliteit bij de overdracht van persoonlijke gegevens tussen het VK en de VS. Niettemin brengt dit ook uitdagingen en risico's met zich mee, waaronder mogelijke implicaties voor het Britse GDPR-adequaatheidsbesluit en de Brits-Amerikaanse overeenkomst over toegang tot elektronische gegevens ter bestrijding van ernstige criminaliteit.

James Castro-Edwards, een Data Privacy Lawyer bij Arnold & Porter, legt uit dat de UK-US Data Bridge een Britse uitbreiding is van het EU-US Data Privacy Framework (DPF), dat bedoeld is als een middel om persoonlijke gegevens over te dragen van de EU naar de VS.

“Aangezien Groot-Brittannië geen lid meer is van de EU, zullen Britse bedrijven niet automatisch op de DPF kunnen vertrouwen om de overdracht van persoonlijke gegevens naar de VS mogelijk te maken, als en wanneer de DPF wordt aangenomen. De UK-US Data Bridge is bedoeld om Britse bedrijven in staat te stellen persoonlijke gegevens naar de VS over te dragen zonder dat er waarborgen zoals de standaardcontractbepalingen of 'SCC's' nodig zijn”, zegt hij.

“Bedrijven moeten echter niet vergeten dat de databrug tussen het Verenigd Koninkrijk en de VS afhankelijk is van de beoordeling van de databrug in Groot-Brittannië en de verdere technische werkzaamheden die worden afgerond, en afhankelijk is van het feit dat de VS Groot-Brittannië aanwijst als een ‘kwalificerende staat’ onder Executive Order 14086.”

EU-betrekkingen: navigeren op het kruispunt van de gegevensregelgeving tussen Groot-Brittannië, de VS en de EU

De UK-US Data Bridge Agreement zal een impact hebben op de relaties van Britse bedrijven met EU-landen. De EU heeft adequaatheidsbesluiten genomen voor zowel de EU AVG als de Wetshandhavingsrichtlijn (LED), het garanderen van een ononderbroken gegevensstroom tussen het VK en de EU in de meeste gevallen. Om in overeenstemming te zijn met deze besluiten heeft Groot-Brittannië de bepalingen van de EU AVG opgenomen in zijn nationale wetgeving, bekend als de Britse AVG.

Britse bedrijven moeten aan beide regels voldoen, wat een uitdaging kan zijn vanwege de verschillen in aanpak. Terwijl de EU een alomvattende wet inzake gegevensprivacy kent, de AVG, hanteren de VS een meer gefragmenteerde aanpak met verschillende sectorspecifieke regelgeving.

In de EU is de GDPR zorgt voor consistente regelgeving om persoonlijke gegevens te beschermen in alle lidstaten, waarbij individuele rechten worden geschetst en verplichtingen aan bedrijven worden opgelegd. Daarentegen ontbreekt het in de VS aan één alomvattende federale wet voor persoonsgegevens, die voor medische informatie afhankelijk is van sectorspecifieke federale en staatswetten zoals HIPAA. Deze gefragmenteerde aanpak kan het voor Britse bedrijven lastig maken om te navigeren en te voldoen aan de Amerikaanse dataregelgeving.

Om naleving te handhaven moeten Britse bedrijven de verschillen tussen de Britse, Amerikaanse en Europese dataregelgeving analyseren en strategieën ontwikkelen om aan beide reeksen regelgeving te voldoen. Dit kan inhouden dat u de bepalingen van de Britse AVG, waarin de bepalingen van de EU AVG zijn opgenomen, begrijpt en naleeft.

Casey Ellis, oprichter en CTO van Bugcrowd, denkt echter dat de AVG voor Britse bedrijven al in hun activiteiten is ingebakken.

“Ik denk dat Groot-Brittannië standaard een soort van grootvader is van de AVG, maar uiteraard probeert zijn eigen versie ervan uit te zoeken. Ik verwacht niet dat een versie van de AVG die wordt geïmplementeerd en die uniek is voor Groot-Brittannië er zo heel anders uit zou zien dan de AVG”, zegt hij.

“Gezien al het werk dat is gestoken in de implementatie ervan, tegen de EU-normen in, is het feit dat de EU een zakelijk onderdeel van Groot-Brittannië is, behoorlijk relevant en het feit dat mensen daar al zo lang naar toe werken. Dus de vraag wordt eigenlijk: wat zijn de VS in vredesnaam aan het doen en hoe kunnen we hier vanaf deze kant van de vijver op aansluiten?

“Hoe denken de VS eigenlijk over hoe zij vanuit dataoogpunt zaken kunnen doen met Groot-Brittannië zonder per ongeluk in botsing te komen met beleid dat vanuit zakelijk oogpunt kostbaar of vanuit privacyoogpunt schadelijk kan zijn”, waarschuwt Ellis.

Vooruitkijken: voordelen maximaliseren en naleving garanderen

De overeenkomst zal een aanzienlijke impact hebben op de gegevensverwerking en privacypraktijken van Britse bedrijven. Het zal de rechten van Britse betrokkenen beschermen en de nalevingskosten in verband met alternatieve overdrachtsmechanismen verminderen, waardoor handel en innovatie worden bevorderd.

Ter voorbereiding op de overeenkomst moeten Britse bedrijven de voorwaarden voor het opzetten van de databrug begrijpen en hun nalevingsverplichtingen beoordelen. Om de voordelen van de overeenkomst te maximaliseren, moeten Britse bedrijven de impact ervan op gegevensverwerking, privacypraktijken en flexibiliteit bij het beheer van persoonlijke gegevens tussen de twee landen analyseren. Ze moeten ook potentiële uitdagingen en risico's identificeren en strategieën ontwikkelen om te voldoen aan de Britse, Amerikaanse en Europese dataregelgeving.

René Millman

Rene Millman is een veelzijdige freelanceschrijver en presentator, gespecialiseerd in cybersecurity, AI, IoT en cloudtechnologieën. Naast zijn rol als bijdragend analist bij GigaOm, brengt hij uitgebreide ervaring met zich mee als voormalig Gartner-analist die zich richt op de infrastructuurmarkt. Rene Millman staat bekend om zijn expertise en heeft regelmatig televisieoptredens gedaan, waarbij hij inzichten en analyses deelde over technologietrends en invloedrijke bedrijven die ons dagelijks leven vormgeven. Blijf op de hoogte van de inzichten van Rene Millman door hem te volgen op Twitter.

Lees meer van Rene Millman

Cyber security 13 januari 2026

leven na de deadline: van naleving van de regelgeving tot operationele stabiliteit.

Leven na de deadline: DORA-naleving omzetten in operationele stabiliteit

De paniek rond januari 2025 is definitief voorbij. Maar voor de meest succesvolle leiders in de financiële sector is het echte werk, en de echte beloning, pas begonnen...

René Millman

Cyber security 13 augustus 2024

de crowdstrike-storing is een pleidooi voor het versterken van de incidentrespons met de ISO 27001-banner

De CrowdStrike-storing: een pleidooi voor het versterken van incidentrespons met ISO 27001

In juli 2024 leidde een mislukte software-update van CrowdStrike tot een aanzienlijke wereldwijde IT-storing, die gevolgen had voor talloze organisaties, waaronder luchtvaartmaatschappijen,...

René Millman

Cyber security 16 July 2024

het vermijden van de volgende medische cyberveiligheidslessen voor bedrijven

De volgende MediSecure vermijden: cyberbeveiligingslessen voor bedrijven

De cybersecuritycatastrofe van MediSecure is een duidelijke wake-upcall voor bedrijven: verwaarloos uw digitale verdediging niet, anders loopt u het risico...

René Millman