20/03/2023 - Op 8 maart heeft de Britse regering een persbericht gepubliceerd waarin staat dat Britse bedrijven miljarden zullen besparen dankzij de nieuwe Data Protection and Digital Information Bill die is voorgesteld om de AVG in het Verenigd Koninkrijk te hervormen.  

De wijzigingen in het wetsvoorstel zijn bedoeld om meer wetenschappelijk onderzoek toe te staan, het vertrouwen van het publiek en het bedrijfsleven in AI-technologieën te vergroten, internationale gegevensuitwisseling te ondersteunen en onnodig papierwerk te verminderen. Dit roept de vraag op: heeft het VK een nieuwe en verbeterde versie van de AVG gecreëerd?  

In deze blog zal ik ingaan op de wijzigingen die bedoeld zijn om onnodig papierwerk te verminderen. Ik bespreek twee belangrijke wijzigingen die in het wetsvoorstel worden genoemd, hun gevolgen voor de beginselen van de AVG en wat dit betekent voor de toekomst van het Britse adequaatheidsbesluit.  

Onnodig papierwerk verminderen

De volgende twee wijzigingen zullen waarschijnlijk het grootste effect hebben op het verminderen van onnodig papierwerk:

1. Gerechtvaardigd belang  

Aan de Britse AVG is een lijst met vooraf bepaalde aanvaarde gerechtvaardigde belangen toegevoegd. Dit betekent dat organisaties niet langer hun eigen belangen hoeven af te wegen tegen de belangen van de betrokkene als zij zich willen beroepen op een specifiek gerechtvaardigd belang dat in deze lijst is opgenomen. Op dit moment is de lijst gericht op publieke belangen, maar de Britse regering kan deze lijst later aanvullen. Voorbeelden van aanvaarde gerechtvaardigde belangen zijn het opsporen, onderzoeken of voorkomen van criminaliteit en het reageren op noodsituaties. 

2. Verwerkingsregister 

De verplichting om een register van verwerkingsactiviteiten bij te houden zal worden beperkt tot organisaties die persoonsgegevens verwerken die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen. Organisaties die geen hoog-risico verwerkingen verrichten, zullen dus volledig worden vrijgesteld van de verplichting om een verwerkingsregister bij te houden.    

Het effect op de beginselen van de AVG 

Hoewel de Britse regering aangeeft dat deze veranderingen onnodig papierwerk zal verminderen, is er een keerzijde. 

Zowel de verplichting om een beoordeling van het legitieme belang uit te voeren als de verplichting om een verwerkingsregister bij te houden vloeien voort uit de beginselen van de AVG. Het verwerkingsregister is niet alleen een specifieke verplichting, maar wordt ook beschouwd als het fundament van de AVG-compliance van organisaties.    

Het is aan te bevelen om in een verwerkingsregister meer informatie op te nemen dan wettelijk verplicht is op grond van artikel 30 van de AVG. Niet alleen helpt dit organisaties te voldoen aan andere vereisten van de AVG, maar het stelt organisaties ook in staat deze naleving aan te tonen. Het belang van het verwerkingsregister roept vragen op over de aanpak van het VK. Is het wel mogelijk voor de organisaties om aan de (Britse) AVG te voldoen zonder een verwerkingsregister? En hoe kunnen organisaties de naleving van bijvoorbeeld het beginsel van doelbinding aantonen als zij geen duidelijk overzicht hebben van hun verwerkingsactiviteiten?   

Ook de lijst van aanvaarde gerechtvaardigde belangen roept vragen op. De genoemde belangen - zoals het voorkomen van criminaliteit - zijn goede voorbeelden van verwerkingsdoeleinden waarvoor het gerechtvaardigd belang kan worden gebruikt. Het verwerken van persoonsgegevens voor de in het wetsvoorstel beschreven doeleinden kan echter vele vormen aannemen. Door de belangen van de organisatie af te wegen tegen de belangen van de betrokkenen - als onderdeel van de driestappentoets die organisaties moeten uitvoeren als zij zich willen beroepen op gerechtvaardigd belang als rechtsgrondslag onder de AVG - kunnen organisaties niet alleen aantonen dat zij voldoen aan de AVG, maar ook nadenken over manieren om de beginselen van de AVG in hun verwerkingsactiviteiten op te nemen, zoals dataminimalisatie. De lijst zou ertoe kunnen leiden dat organisaties blindelings vertrouwen op de vooraf bepaalde belangen zonder de noodzaak te voelen om belangen af te wegen en de beginselen van de AVG te borgen.   

Kortom, de voorgestelde wijzigingen in de Britse AVG raken het Europese gegevensbeschermingsrecht in haar kern. De Britse AVG drijft hiermee verder weg van haar voorganger in Europa.    

Het adequaatheidsbesluit van het VK 

Sinds Brexit ziet de Britse regering de AVG steeds meer als een juridische last geërfd uit haar tijd in de Europese Unie. De wijzigingen in de Britse AVG hebben al een debat op gang gebracht over de richting van het Britse gegevensbeschermingsrecht. Hoewel het VK waarschijnlijk zijn adequaatheidsbesluiten zal willen behouden om onbeperkte doorgifte van persoonsgegevens te garanderen, is het nog maar de vraag hoe ver het VK van de AVG kan afwijken zonder dat de Europese Commissie of de rechter het adequaatheidsbesluit ongeldig verklaart, waardoor organisaties gedwongen worden om een beroep te doen op andere doorgiftemechanismen, zoals de EU Standard Contractual Clauses. 

Dennis van der Staak Legal Manager

Meer weten?

Wilt u weten hoe deze ontwikkelingen uw organisatie beïnvloeden? Neem contact met ons op!