Toen het Verenigd Koninkrijk de Wet inzake gegevensgebruik en -toegang (DUAA)Veel van de eerste commentaren richtten zich op de divergentie die het teweegbracht. Was dit een versoepeling van het Britse gegevensbeschermingsregime? Een bewuste afwijking van Brussel? Een herijking ten gunste van economische groei? Maar al deze analyses missen de meer ingrijpende verandering. 

De DUAA verzwakt de verantwoordingsplicht niet. Integendeel, ze herverdeelt deze en transformeert voorschrijvende interpretaties in aantoonbaar bestuur. Door erkende legitieme belangen te verfijnen, de rechten op inzage in persoonsgegevens te herijken, de bepalingen inzake geautomatiseerde besluitvorming aan te passen en de handhaving onder PECR te versterken, vermindert de wet de starheid op bepaalde gebieden en verhoogt ze tegelijkertijd de verwachting dat organisaties kunnen verantwoorden hoe zij hun discretionaire bevoegdheid uitoefenen. 

Eén ding is volkomen duidelijk: de regelgevingslast is niet verdwenen. Sterker nog, die is structureler geworden. De organisaties die de DUAA succesvol zullen doorstaan, zijn niet de organisaties die het beleid het snelst bijwerken. Het zullen de organisaties zijn die kunnen aantonen hoe beslissingen worden genomen, geëvalueerd en in de loop der tijd verbeterd, en dat consequent doen. 

Proportionaliteit onder de DUAA is geen clementie, maar discipline. 

Een van de centrale thema's van de DUAA is proportionaliteit. De wet stelt dat erkende legitieme belangen in bepaalde scenario's kunnen worden ingeroepen zonder een volledige belangenafweging. Verzoeken om inzage in persoonsgegevens kunnen worden geweigerd of gemodereerd wanneer ze "kwellend of buitensporig" zijn. Daarnaast zijn de regels voor geautomatiseerde besluitvorming verfijnd. 

Maar proportionaliteit betekent niet dat de lat lager wordt gelegd. Als een organisatie bijvoorbeeld een beroep doet op erkende legitieme belangen, verwacht de toezichthouder nog steeds het volgende: 

  • Duidelijke omschrijving van het verwerkingsdoel 
  • Risicoanalyse die de impact op individuen weergeeft 
  • Overweging van waarborgen 
  • Documentatie van besluitvorming 
  • Bewijs van consistente toepassing 

Ook de hervormingen met betrekking tot de afhandeling van verzoeken om inzage in persoonsgegevens (DSAR) creëren geen op zichzelf staande discretionaire bevoegdheid. Ze vereisen gestructureerde criteria voor het beoordelen van buitensporigheid, gedefinieerde escalatieroutes en een gedocumenteerde onderbouwing. In de praktijk verschuift dit de nalevingslast van gestandaardiseerde tests naar aantoonbare volwassenheid van het bestuur. 

Ik denk dat het ook de moeite waard is om te vermelden dat de handhavingstrend van de ICO de laatste tijd deze verschuiving al weerspiegelt. Onderzoeken richten zich steeds vaker op systeemfouten in de interne controle, ontoereikend toezicht en onvoldoende documentatie, in plaats van alleen maar op de vraag of een specifieke clausule technisch is overtreden. In die zin versnelt de DUAA deze verschuiving in focus. 

De wet legt gefragmenteerd bestuur bloot. 

In de kern raakt de DUAA aan informatiebeveiliging, privacymaatregelen, marketingcompliance, AI-governance en internationale gegevensoverdracht. 

In veel organisaties blijven deze domeinen structureel gescheiden. 

Beveiliging kan opereren binnen een technisch risicokader. Privacy kan beleidsmatig en juridisch van aard zijn. Marketing kan commercieel gedreven zijn. De implementatie van AI kan plaatsvinden binnen innovatie- of productteams. Leveranciersbeheer kan door inkoopteams worden aangestuurd. De DUAA respecteert deze interne grenzen niet. 

Een door AI aangedreven marketingtool die bijvoorbeeld via een in de VS gevestigde verwerker wordt ingezet, kan tegelijkertijd het volgende doen: 

  • Beveiligingsverplichtingen met betrekking tot de verwerking 
  • Beoordelingen op basis van de wettelijke grondslag 
  • Beveiligingsmaatregelen voor geautomatiseerde besluitvorming 
  • PECR-marketingregels 
  • Internationaal risicobeheer bij transfers 

Als elk element anders wordt beheerd en de documentatie inconsistent is, wordt het vermogen van een organisatie om besluitvorming te verdedigen verzwakt. Om misverstanden te voorkomen: de wet schrijft integratie niet expliciet voor. Maar in de praktijk maakt de wet gefragmenteerd bestuur moeilijker vol te houden. Daarom is het voor de meesten duidelijk dat managementsystemen in deze context van belang zijn. 

Waarom internationale normen strategisch belangrijk worden bij een binnenlandse hervorming. 

Hoewel de DUAA alleen de Britse GDPR en PECR wijzigt, blijven Britse bedrijven bij internationale handel onderworpen aan de EU GDPR, sectorale regelgeving en opkomende AI-wetgeving. 

In die context vervullen internationale standaarden twee cruciale functies: 

  1. Ze creëren een gemeenschappelijke bestuurstaal voor juridische, technische en directieteams. 
  1. Ze bieden een controleerbaar alternatief voor gestructureerd risicomanagement in de afwezigheid van voorschrijvende wettelijke bepalingen. 

Het ligt dus zeker voor de hand dat, hoewel de geïntegreerde toepassing van ISO 27001 , ISO 27701 en ISO 42001 Het vervangt de wettelijke naleving niet, maar maakt deze wel operationeel. 

Waar de DUAA een proportionele risicobeoordeling vereist, definiëren deze normen hoe risico's worden geïdentificeerd, geëvalueerd, behandeld en beoordeeld. Waar de wet de handhaving versterkt, verankeren ze de controleerbaarheid en corrigerende maatregelen. Samen zorgen ze ervoor dat governance verschuift van reactieve interpretatie naar gestructureerde, proactieve controle. 

ISO 27001: Verantwoording omzetten in iets tastbaars 

ISO 27001, de norm voor informatiebeveiliging, biedt een raamwerk voor het bereiken van duidelijkheid. Organisaties moeten volgens deze norm een ​​informatiebeveiligingsmanagementsysteem opbouwen rondom: 

  • Hun context begrijpen en de reikwijdte correct definiëren. 
  • Een formele, verdedigbare risicobeoordelingsmethodologie 
  • Duidelijke risicobehandelingsplanning 
  • Gedocumenteerde controlebeslissingen 
  • Interne audit en managementbeoordeling 
  • Continue verbetering 

Op papier klinkt dat als een eenvoudige procedure. In de praktijk beantwoordt het echter een veel ongemakkelijkere vraag: wie draagt ​​het risico en hoe komen we daarachter? 

En onder de DUAA wordt die vraag nog scherper. 

Beveiliging van de verwerking 

De verplichting om "passende technische en organisatorische maatregelen" te treffen is niet verdwenen. Maar "passend" kan niet betekenen "wat op dat moment redelijk leek". 

ISO 27001 vereist dat organisaties definiëren wat passend is voor hun bedrijf, gebaseerd op een gedocumenteerde risicoanalyse, en niet op subjectief oordeel of historische gewoonte. 

Incidentrespons en beheer van datalekken 

Toezichthouders kijken niet langer alleen naar de vraag of er een overtreding heeft plaatsgevonden. Ze kijken ook naar hoe goed de organisatie daarop voorbereid was. 

  • Is het antwoord getest? 
  • Is het gedocumenteerd? 
  • Begreep het leiderschap hun rol? 

Een gestructureerd, geoefend incidentproces getuigt van controle. Een geïmproviseerd proces getuigt van kwetsbaarheid. 

Handhaving en controleerbaarheid 

Met de versterkte handhavingsbevoegdheden van PECR en de toenemende controle moet het bestuur transparant zijn. Regelmatige interne audits en managementreviews tonen aan dat de naleving niet statisch is. Deze wordt actief gemonitord en ter discussie gesteld. Dat is belangrijk wanneer toezichthouders moeten beoordelen of een probleem te wijten is aan pech of aan zwak toezicht. 

En dit is waar ISO 27001 verder gaat dan alleen operationele hygiëne. 

Het verankert verantwoordelijkheid van het leiderschap. Onder de DUAA worden tekortkomingen in het bestuur niet langer beschouwd als technische fouten, maar als een organisatorisch probleem. 

ISO 27701: Privacyhervorming in de praktijk brengen 

Als ISO 27001 structurele verantwoording creëert, vertaalt ISO 27701 privacy naar de dagelijkse praktijk. Het breidt het beveiligingsbeheersysteem uit naar een privacy-informatiebeheersysteem, waarbij privacyverplichtingen worden afgestemd op dezelfde risico-, documentatie- en toezichtsstructuur. Die afstemming is cruciaal in het kader van de DUAA-hervorming. 

Erkende legitieme belangen 

Zelfs wanneer een formele belangenafweging niet vereist is, moeten organisaties nog steeds aantonen dat ze zorgvuldig hebben nagedacht over doel, proportionaliteit en waarborgen. 

ISO 27701 formaliseert de wijze waarop wettelijke grondslagen worden vastgesteld, vastgelegd en beoordeeld. Het neemt de onduidelijkheid weg bij beslissingen die anders informeel zouden worden genomen. 

DSAR-hervorming 

Het al dan niet goedkeuren van verzoeken om inzage in persoonsgegevens vereist beoordelingsvermogen, en beoordelingsvermogen vereist waarborgen. 

ISO 27701 beschrijft vastgestelde procedures, escalatiepaden en documentatievereisten. Daarmee wordt beoordelingsvrijheid een verdedigbaar proces. 

Internationale overschrijvingen 

Risicobeoordelingen met betrekking tot gegevensoverdracht, toezicht op verwerkers en contractuele waarborgen vallen niet geheel onder het jurisprudentiekader alleen. 

ISO 27701 integreert ze in het leveranciersbeheer en de operationele workflows, waardoor de fragmentatie tussen juridische, inkoop- en beveiligingsteams wordt verminderd. 

Transparantie en verantwoording 

Privacyverklaringen en verwerkingsregisters zijn geen eenmalige updates. Ze worden onderdeel van een dynamisch beheersysteem. 

In feite legt ISO 27701 de discipline vast die nodig is om de flexibiliteit van DUAA op verantwoorde wijze te gebruiken, zonder in inconsistentie te vervallen. 

ISO 42001: AI beheren zonder het als een experiment te behandelen 

Zoals ik eerder al kort aangaf, actualiseert de DUAA ook de regels voor geautomatiseerde besluitvorming. In sommige contexten vergroot dit de flexibiliteit. Maar flexibiliteit zonder toezicht loopt zelden goed af. ISO 42001 introduceert een AI-managementsysteem dat is gebaseerd op: 

  • AI-specifieke risicobeoordelingen geïntegreerd in bedrijfsrisicobeheer 
  • Gedefinieerd menselijk toezicht 
  • Duidelijke documentatie van het systeemdoel, de gegevensinvoer en de beslissingslogica. 
  • Transparantiecontroles 
  • Doorlopende monitoring en verbetering 

Naarmate AI zich over verschillende sectoren uitbreidt, zullen toezichthouders niet alleen vragen of systemen technisch functioneren. Ze zullen ook vragen of organisaties kunnen aantonen dat ze op een zinvolle manier toezicht houden. ISO 42001 beantwoordt die vraag door AI-governance te integreren in bestaande beveiligings- en privacysystemen, in plaats van het als een apart innovatieproject te beschouwen. 

Het geïntegreerde voordeel: één risicomodel, één bewijsbasis 

De strategische kracht van de lus schuilt in de integratie. Samen creëren ISO 27001, 27701 en 42001 het volgende: 

  • Een uniforme risicomethodologie voor beveiliging, privacy en AI. 
  • Consistente documentatiestandaarden 
  • Gedeeld leiderschapstoezicht 
  • Een geconsolideerde interne auditcyclus 
  • Een uniform kader voor corrigerende maatregelen 

Dit is belangrijk omdat de DUAA geen geïsoleerde verplichtingen introduceert. Het introduceert juist discretionaire bevoegdheid binnen deze onderling verbonden domeinen. 

Een geïntegreerd managementsysteem vermindert dubbel werk, voorkomt inconsistente besluitvorming en zorgt ervoor dat proportionaliteit wordt toegepast door middel van gestructureerde analyses in plaats van informeel oordeel. Voor organisaties betekent dit dat wanneer toezichthouders om bewijs vragen – en dat doen ze steeds vaker – bedrijven die dit systeem hanteren, goed gedocumenteerde risicobeoordelingen, behandelbeslissingen, toezichtverslagen en evaluatieresultaten in een samenhangend verhaal kunnen presenteren. En dat is vaak het verschil tussen controle en sanctie. 

Van naleving naar organisatorische veerkracht 

De DUAA zal niet de laatste hervorming van de Britse gegevenswetgeving zijn. Richtlijnen zullen zich verder ontwikkelen. De handhaving zal zich verder ontwikkelen. Het toezicht op AI zal intensiveren. Grensoverschrijdende complexiteit zal blijven bestaan. Organisaties die elke ontwikkeling als een afzonderlijke juridische aanpassing beschouwen, zullen herhaaldelijk operationele verstoringen ondervinden. 

Degenen die met geïntegreerde managementsystemen werken, zullen veranderingen stapsgewijs doorvoeren. Risicoregisters zullen worden bijgewerkt. Controles zullen worden verfijnd. Toezicht zal worden bijgesteld. Bewijsmateriaal zal worden bewaard. Het verschil is structureel. 

De DUAA duidt op een regelgevingsklimaat dat minder wordt gekenmerkt door voorschrijvende instructies en meer door de verwachting van gedisciplineerd oordeel. In zo'n klimaat wordt volwassenheid op het gebied van governance een concurrentievoordeel. De cyclus van ISO 27001, 27701 en 42001 vereenvoudigt de regelgeving niet, maar maakt deze wel beheersbaar. 

Breid je kennis uit

Blog: Waarom toezichthouders en investeerders verwachten dat bedrijven een drievoudig risico aanpakken

Blog: Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

webinar: ISO 27001 & ISO 27701 in de praktijk: een kijkje in onze surveillance-audit