AVG-update: wat de Data (Use and Access) Act betekent voor complianceteams

Door Phil Muncaster • 3 July 2025

Een update van de Britse versie van de AVG is al lang nodig. De vorige Conservatieve regering stelde deze oorspronkelijk voor via de Wetsvoorstel gegevensbescherming en digitale informatie (DPDI)., die het parlement niet haalde vóór een regeringswisseling. De Data (Use and Access) Act (DUA Act) van Labour heeft eindelijk koninklijke goedkeuring gekregen na een spraakmakende ruzie tussen de Eerste en Tweede Kamer over AI en auteursrecht.

De vraag is in hoeverre het voor beveiligings- en complianceteams een fluitje van een cent zal zijn om zich aan te passen aan het nieuwe gegevensbeschermingsregime dat de wet inluidt?

Waarom hebben we het nodig?

Net als bij eerdere pogingen om de Britse regelgeving voor gegevensbescherming te verbeteren en aan te passen, ligt de focus op het wegnemen van onnodige bureaucratie zonder grensoverschrijdende gegevensstromen naar de EU in gevaar te brengen. Om dit laatste te garanderen, mag het VK niet te ver afwijken van de AVG, anders riskeert het zijn adequaatheidsstatus als "derde land".

Gegeven dat de digitale economie £154 miljard heeft bijgedragen aan de bruto toegevoegde waarde (GVA) in 2023, goed voor ongeveer 6.5% van het totaal, weet de overheid dat een radicale afwijking van de AVG uitgesloten is. Het zou ook pervers zijn, aangezien toezichthouder de Information Commissioner's Office (ICO) een belangrijke bijdrage leverde aan de oorspronkelijke regelgeving.

De regering beweert dat de nieuwe wet de Britse economie de komende tien jaar een impuls van £10 miljard zal geven. Ze wijst op een uitbreiding van ‘slimme data’-programma’s zoals open banking, het verminderen van de bureaucratie voor aanbieders van openbare diensten, En een nieuwe vertrouwenskeurmerk voor digitale identiteitsaanbieders om dit te helpen bereiken.

Wat is er nieuw?

Vanuit het perspectief van gegevensbescherming zijn de grootste veranderingen echter gerelateerd aan:

Legitieme belangen: De DUA-wet introduceert ‘erkende legitieme belangen’ als een nieuwe, wettelijke basis voor het verwerken van persoonsgegevens. Hierdoor kunnen sommige organisaties gegevens verwerken zonder dat ze een traditionele beoordeling van gerechtvaardigde belangen (LIA) hoeven uit te voeren. Er is ook een lijst met verwerkingsactiviteiten (waaronder direct marketing) waarvoor nog steeds een LIA vereist is, wat organisaties meer duidelijkheid zou moeten verschaffen.

Geautomatiseerde besluitvorming (ADM): De wet versoepelt de beperkingen op ADM in gevallen waarbij geen sprake is van bijzondere categorieën gegevens, hoewel er nog steeds waarborgen moeten worden toegepast.

Wetenschappelijk onderzoek: De wet verruimt de definitie tot elk onderzoek dat "redelijkerwijs als wetenschappelijk kan worden omschreven, ongeacht of het publiek of privaat wordt gefinancierd en ongeacht of het wordt uitgevoerd als een commerciële of niet-commerciële activiteit". Dit betekent dat privaat gefinancierd en commercieel onderzoek vrijstellingen zullen genieten voor de verwerking van gegevens van bijzondere categorieën.

Internationale gegevensoverdracht: De staatssecretaris kan derde landen goedkeuren en beslissen of de normen voor gegevensbescherming van een land van bestemming ‘niet wezenlijk lager’ zijn dan die in het Verenigd Koninkrijk in plaats van de bestaande ‘in wezen gelijkwaardige’ bescherming.

Speciale categoriegegevens: De staatssecretaris krijgt ook nieuwe bevoegdheden om te wijzigen wat als bijzondere categoriegegevens kan worden aangemerkt, wat extra bescherming vereist.

Verzoeken om toegang tot gegevens van betrokkenen (SAR's): De wet verduidelijkt dat betrokkenen alleen recht hebben op informatie uit een "redelijke en evenredige" zoekopdracht van het bedrijf. Organisaties hebben nu onder bepaalde omstandigheden tot drie maanden de tijd om te reageren op SAR's. Dit is bedoeld om de administratieve lasten voor bedrijven te verminderen.

Doelbinding: De wet verduidelijkt wat onder ‘verdere verwerking’ wordt verstaan.

Gegevens van kinderen: De wet introduceert een nieuw concept van ‘zaken inzake hogere bescherming van kinderen’, dat de ICO moet evalueren bij het reguleren van de verantwoordelijkheden van bedrijven.

Privacy- en elektronische communicatieregelgeving (PECR): Nieuwe regels voor cookies zijn bedoeld om de naleving ervan voor bedrijven te vereenvoudigen. Er zijn uitzonderingen op de vereiste om toestemming te vragen voor bepaalde niet-essentiële cookies (bijvoorbeeld het verzamelen van statistische gegevens om de weergave of prestaties van een website te verbeteren, het aanpassen van een website aan de voorkeuren van een gebruiker, of het verbeteren van diensten of een website). Er is ook een lange lijst met doeleinden voor het gebruik van cookies die als strikt noodzakelijk worden beschouwd (bijvoorbeeld beveiliging en fraudedetectie), waarvoor geen opt-out vereist is.

ICON: De ICO wordt vervangen door de Informatiecommissie, met een voorzitter en uitvoerende/niet-uitvoerende leden. Er zijn ook nieuwe regels voor klachtenprocedures.

Volgens Edward Machin, juridisch adviseur op het gebied van gegevens, privacy en cyberbeveiliging bij Ropes & Gray, zullen sommige maatregelen de bureaucratie voor veel organisaties verminderen.

"Hoewel het controversieel is, zal de versoepeling van de eisen rondom geautomatiseerde besluitvorming waarbij niet-gevoelige persoonsgegevens betrokken zijn, de nalevingslast voor organisaties die dit soort verwerking uitvoeren enigszins verlichten, met name in de context van de ontwikkeling en het gebruik van AI", vertelt hij aan ISMS.online.

“En door het concept van ‘verdere verwerking’ in het algemeen te verduidelijken en de definitie van ‘wetenschappelijk onderzoek’ in het bijzonder te verbreden, zullen organisaties – hoewel het de bureaucratie als zodanig niet zal verminderen – de mogelijkheid krijgen om persoonsgegevens in een breder scala aan scenario’s te verwerken dan nu het geval is.”

Begin met koekjes

Juridische experts zijn van mening dat de wetgeving geen gevolgen zal hebben voor de adequaatheidsstatus van het Verenigd Koninkrijk en daarmee ook niet voor de gegevensstromen met de EU.

"Hoewel de voorgestelde wijzigingen in de [wet] ingrijpend zijn, gaan ze niet zo ver dat ze de onderliggende principes van de AVG, waarop het huidige regime is gebaseerd, veranderen", aldus Sarah Pearce, partner bij Hunton Andrews Kurth. "De nieuwe wetgeving zou dan ook geen invloed moeten hebben op het adequaatheidsbesluit van het VK wanneer deze eind dit jaar door de Europese Commissie wordt beoordeeld."

Waar moeten compliance officers dus eerst naar kijken? Ropes & Gray's Machin adviseert om te kijken naar cookie- en elektronische marketingpraktijken.

"Hoewel de wet het type cookies en de doeleinden die als 'strikt noodzakelijk' worden beschouwd, uitbreidt, worden ook de maximale boetes onder PECR verhoogd om ze af te stemmen op de Britse AVG – d.w.z. het hoogste bedrag van £ 17.5 miljoen of 4% van de jaarlijkse wereldwijde omzet", legt hij uit.

Alle organisaties zullen de nieuwe procedure voor klachten van individuen moeten implementeren. Deze klachten moeten eerst bij de verwerkingsverantwoordelijke worden ingediend voordat ze bij de ICO worden ingediend. Dit vereist aanpassingen van privacyverklaringen en interne processen om ervoor te zorgen dat dergelijke klachten op de juiste manier worden afgehandeld.

Machin voegt toe dat een uitgebreider in kaart brengen noodzakelijk is om inzicht te krijgen in hoe de bepalingen van de wet de huidige processen beïnvloeden.

"In veel gevallen zal dit niet leiden tot significante veranderingen in de bestaande Britse AVG-nalevingsprogramma's", concludeert hij.

“Dat gezegd hebbende, zullen de regelingen voor het delen van gegevens en digitale verificatie die de staatssecretaris op grond van de wet mag invoeren, een reeks nieuwe en verbeterde juridische en technische vereisten met zich meebrengen. Organisaties die aan deze regelingen willen – of moeten – deelnemen, moeten de ontwikkelingen op dit gebied nauwlettend in de gaten houden.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster