Wat de wet op gegevensbescherming en digitale informatie voor het bedrijfsleven betekent
Inhoudsopgave:
Volgens de regering was de digitale economie van het Verenigd Koninkrijk in 259 naar schatting £2021 miljard waard. En het omvatte 85% van de totale dienstenexport. Dat is de reden waarom bedrijven reikhalzend hebben uitgekeken naar een van de belangrijkste stukken wetgeving in het post-Brexit-tijdperk: de Data Protection and Digital Information Bill (DPDI). De wetgeving werd voor het eerst geïntroduceerd in de zomer van 2022 en kort daarna opgeschort voor overleg met experts uit de sector en bedrijfsleiders. wordt nu aangeprezen als een manier voor Britse bedrijven om het papierwerk te verminderen en handelsbarrières te verminderen zonder de privacy en gegevensbescherming in gevaar te brengen.
Maar kunnen de bepalingen ervan daadwerkelijk de administratieve rompslomp voor organisaties vergroten in een tijd waarin ze in de VS al overladen zijn met nieuwe nalevingsmandaten?
Wat staat er in het wetsvoorstel?
Er valt genoeg te ontdekken over wat in wezen de poging van Groot-Brittannië is om een eigen versie van de AVG te produceren. Het is een mix van verduidelijkingen en uitzonderingen die proberen de wet bedrijfsvriendelijker te maken zonder de adequaatheidsstatus van Groot-Brittannië te beïnvloeden, wat de gegevensstromen van en naar de EU in gevaar zou brengen.
Een van de belangrijkste veranderingen is ervoor te zorgen dat alleen organisaties die zich bezighouden met gegevensverwerking met een hoog risico, zoals organisaties die grote hoeveelheden gezondheidsgegevens verwerken, gegevens moeten bijhouden. Dit is bedoeld om het papierwerk voor een groot aantal bedrijven te verminderen. De nieuwe regels zijn ook bedoeld om te verduidelijken wanneer organisaties gegevens kunnen verwerken zonder toestemming te vereisen, bijvoorbeeld wanneer het in het algemeen belang is om persoonsgegevens te delen om criminaliteit te voorkomen.
Er zijn verdere verduidelijkingen aangebracht om het vertrouwen in AI te vergroten door te bepalen wanneer er waarborgen moeten gelden voor geautomatiseerde besluitvorming of profilering, die van cruciaal belang zijn voor veel bedrijfsmodellen. En er zijn nieuwe regels ontworpen zodat commerciële organisaties bij het uitvoeren van onderzoek kunnen profiteren van dezelfde bescherming als academici. Dat betekent elk onderzoek dat “redelijkerwijs als wetenschappelijk kan worden omschreven”. Het doel is opnieuw om de administratieve rompslomp en de juridische kosten voor onderzoekers te verminderen en tegelijkertijd meer wetenschappelijk onderzoek in de particuliere sector te stimuleren.
Andere afwijkingen van de AVG zijn onder meer een nieuw raamwerk voor optionele digitale verificatie, verhoogde boetes voor hinderlijke telefoontjes en sms-berichten tot maximaal 4% van de wereldwijde omzet of £ 17.5 miljoen, en de oprichting van een nieuw statutair bestuur voor toezichthouder, het Information Commissioner's Office (ICO). ). Er zijn ook voorstellen om het aantal pop-ups met toestemming die internetgebruikers online zien te verminderen, wat in feite betekent dat bedrijven trackingtechnologieën op websites en in apps kunnen gebruiken zonder voorafgaande toestemming van de eindgebruiker voor analyses.
Wat de regering belooft
Het is niet verwonderlijk dat de regering van de daken schreeuwt over de potentiële voordelen die de nieuwe versie van de AVG zal opleveren. Ze beweerde dat de hervormingen de komende tien jaar £4.7 miljard aan besparingen voor Britse organisaties zullen ‘ontsluiten’ zonder de internationale gegevensstromen te belemmeren. In feite beweert de regering dat de veranderingen het mondiale vertrouwen in haar regelgevingsregime zullen vergroten om nog meer internationale handel te stimuleren. De wetgeving zal de lasten voor kleine bedrijven helpen verlichten, vooral door wat de regering beschrijft als een inflexibele, van bovenaf opgelegde Europese wet.
Een ander thema is het vergroten van het vertrouwen van bedrijven – zowel over wanneer zij persoonlijke gegevens zonder toestemming kunnen verwerken als over het verduidelijken wanneer er waarborgen moeten gelden bij het gebruik van AI-technologieën.
Minister van Wetenschap, Innovatie en Technologie, Michelle Donelan, wilde graag benadrukken dat het wetsvoorstel vanaf het begin ‘mede-ontworpen’ was met bedrijven.
“Ons systeem zal gemakkelijker te begrijpen zijn, gemakkelijker na te leven en te profiteren van de vele kansen van Groot-Brittannië na de Brexit. Onze bedrijven en burgers zullen zich niet langer hoeven te verwikkelen in de op barrières gebaseerde Europese AVG”, zei ze bij de lancering ervan.
“Onze nieuwe wetten bevrijden Britse bedrijven van onnodige administratieve rompslomp om nieuwe ontdekkingen te ontsluiten, technologieën van de volgende generatie vooruit te helpen, banen te creëren en onze economie een boost te geven.”
Kan het wetsvoorstel de administratieve rompslomp vergroten?
Er bestaat echter bezorgdheid dat de wetgeving de administratieve rompslomp voor sommige organisaties niet zal wegnemen, maar juist zal vergroten. Antonis Patrikios, partner en mondiaal covoorzitter van de dataprivacy- en cybersecuritypraktijk bij Dentons, legt uit dat organisaties die hun bestaande AVG-complianceraamwerk niet willen veranderen, dat niet hoeven te doen met de nieuwe wetgeving.
“Het wetsvoorstel voorziet dat organisaties kunnen blijven voldoen aan de EU AVG als ze dat willen, en dit zal worden geacht te voldoen aan de vereisten van de nieuwe Britse gegevensbeschermingswet. Organisaties die niet willen worden beïnvloed door de veranderingen die door het wetsvoorstel worden geïntroduceerd, hoeven dat dus niet te doen”, vertelt hij aan ISMS.online.
Hoewel dat de potentiële nalevingslast zou verminderen, vooral voor degenen met Europese activiteiten, zou het echter betekenen dat deze organisaties niet kunnen profiteren van de veelgeprezen voordelen van de nieuwe wetgeving. Degenen die dat willen, moeten effectief twee afzonderlijke nalevingskaders handhaven, één voor hun EU-activiteiten (AVG) en één voor het Verenigd Koninkrijk (DPDI).
Patrikios geeft dat toe.
“Van de organisaties die graag gebruik willen maken van de gestroomlijnde (en waarschijnlijk gemakkelijker na te leven) herziene Britse wettelijke vereisten, zullen degenen die zowel Britse persoonsgegevens als EU-persoonsgegevens verwerken, wat meer moeten nadenken om na te gaan in hoeverre waarop zij willen vertrouwen op de herziene Britse wet en hoe zij in de praktijk de wisselwerking zullen beheren tussen het toepassen van de ene standaard (dat wil zeggen de EU AVG) voor hun EU-gegevens en een andere standaard (dat wil zeggen de herziene Britse gegevensbeschermingswet) voor hun Britse gegevens, " hij zegt.
Er bestaat ook de vraag of het eenvoudiger maken van naleving zelfs in het belang van organisaties is, vooral als dit onbedoelde gevolgen heeft. Het wegvallen van de noodzaak voor de meeste gegevensverwerkers met een laag risico om gegevens bij te houden is zo'n geval, volgens Edward Machin, een senior jurist bij de data-, privacy- en cybersecurity-praktijk van Ropes & Gray.
"Hoewel niemand zal klagen over een vermindering van het papierwerk, betekent het wegnemen van de verplichting voor de meeste bedrijven om inventarissen van persoonlijke gegevens bij te houden dat ze misschien moeite hebben om te begrijpen hoe en waar ze gegevens bewaren, wat in niemands voordeel is", betoogt hij.
Hoe bedrijven de extra werklast kunnen beheren
Elke toename van het compliancewerk voor Britse organisaties zal in een drukke tijd plaatsvinden. Dit jaar wordt verwacht dat zeven staten, waaronder Colorado, Connecticut, Utah en Virginia, nieuwe, op de AVG geïnspireerde statuten zullen gaan handhaven. De extra werklast dreigt de overspoelde complianceteams te overweldigen.
“Naast de hervorming van de Britse wetgeving inzake gegevensbescherming en de hervormingsprocessen van de Amerikaanse privacywetgeving, zijn er nieuwe privacywetten en/of evoluerende richtlijnen en praktijken in belangrijke markten zoals China, India en Canada. We mogen ook de reeks cyberbeveiligingswetten (zoals NIS 2 en DORA) en technologieregelgevingswetten (zoals de AI Act en DSA) niet vergeten die zich een weg banen door het wetgevingsproces van de EU”, legt Patrikios uit.
“Organisaties moeten overwegen welke van deze nieuwe wetten op hen van toepassing zijn en vervolgens overwegen wat de waarschijnlijke impact zal zijn en hoe ze zich daarop kunnen voorbereiden. Daarbij is het van essentieel belang om met externe gespecialiseerde adviseurs te spreken, omdat er nieuwe bepalingen zijn, waarvan sommige geen precedent hebben, waardoor ze in de praktijk lastig kunnen worden toegepast. Als er meer dan één nieuwe wet van toepassing is, kan het stroomlijnen van compliance-inspanningen niet eenvoudig zijn, en het kan in de praktijk zeer nuttig zijn om inzicht te krijgen in wat anderen in de markt doen.”
Dit is waar vertrouwde partners zoals ISMS.online kunnen helpen door een gecentraliseerd portaal aan te bieden waar klanten al hun compliance-inspanningen op één plek kunnen beheren. Sterker nog, als sommige taken en specificaties er in verschillende regelgevingskaders hetzelfde uitzien, kan ISMS.online ervoor zorgen dat teams geen tijd verspillen aan het dupliceren van hun inspanningen.
