Uitgelicht Inzicht

Updates gegevensbescherming en belangrijke overwegingen voor bedrijven

9-07-2025

Home / Inzichten / Updates gegevensbescherming en belangrijke overwegingen voor bedrijven

Het Verenigd Koninkrijk is toegewijd aan het handhaven van hoge normen van gegevensbescherming voor individuen, en bedrijven kunnen ernstige gevolgen ondervinden als ze zich niet aan de relevante wetten houden. Deze toewijding wordt echter afgewogen tegen het doel om innovatie aan te moedigen, wat vooral blijkt uit de introductie van de nieuwe Wet gebruik en toegang gegevens 2025. In deze update gaan we in op belangrijke wijzigingen die deze wetgeving met zich meebrengt en andere belangrijke updates op het gebied van gegevensbescherming waar je op moet letten om ervoor te zorgen dat je bedrijf compliant blijft.

De GDPR in het Verenigd Koninkrijk en de Data Protection Act 2018

Bij het overwegen van de regelgeving voor gegevensbescherming in het Verenigd Koninkrijk is het essentieel om zowel de GDPR als de Data Protection Act 2018 te overwegen, die de hoeksteen vormen van het gegevensbeschermingsregime in het Verenigd Koninkrijk. Deze wetten schrijven voor hoe persoonlijke gegevens moeten worden opgeslagen, verwerkt en verzameld.

De GDPR in het Verenigd Koninkrijk werd ingevoerd na Brexit en beschrijft verschillende principes voor gegevensverwerking, waaronder rechtmatigheid, eerlijkheid en transparantie. Het stelt de rechten van individuen vast (waaronder het recht op toegang en wissen) en regels voor internationale gegevensoverdracht. Het is van toepassing op alle organisaties in het Verenigd Koninkrijk en op entiteiten in het buitenland die de persoonsgegevens van Britse personen verwerken.

De Data Protection Act 2018 is een aanvulling op de GDPR in het VK en bevat bepalingen zoals vrijstellingen van GDPR-verplichtingen in het VK in bepaalde gevallen.

Wet Gebruik en Toegang Gegevens 2025 (DUAA)

De DUAA werd op 19 juni 2025 koninklijk bekrachtigd en wordt in fasen ingevoerd, waarbij sommige bepalingen al van kracht zijn en andere naar verwachting in de loop van volgend jaar van kracht zullen worden. De DUAA brengt aanzienlijke wijzigingen aan in de huidige regeling.

Het doel van de DUAA is om innovatie aan te moedigen, het bestaande gegevensbeschermingskader in het Verenigd Koninkrijk te verbeteren en bedrijven in staat te stellen hun diensten te verbeteren met behoud van de bescherming van individuele rechten.

Organisaties moeten niet alleen zorgen voor naleving, zoals hieronder wordt besproken, maar moeten ook nadenken over hoe ze gebruik kunnen maken van de veranderingen die ondersteuning innovatie.

Innovatie

De ICO verwelkomt de veranderingen die de DUAA aanbrengt en merkt op dat de DUAA bedrijven op de volgende manieren kan helpen innoveren:

1. Onderzoek: verduidelijking dat "brede toestemming" kan worden gegeven voor een gebied van wetenschappelijk onderzoek wanneer organisaties persoonlijke informatie gebruiken voor onderzoeksdoeleinden.

2. Privacyverklaringen: als het onevenredig veel moeite zou kosten om een privacyverklaring te verstrekken voor het hergebruik van persoonlijke informatie voor wetenschappelijk onderzoek, hoeven organisaties niet opnieuw een verklaring te verstrekken. De verklaring moet nog steeds beschikbaar zijn op de website van de organisatie en de rechten blijven zoals gewoonlijk beschermd.

3. Geautomatiseerde besluitvorming (ADM): Bedrijven kunnen zich beroepen op het volledige scala aan wettelijke grondslagen wanneer ze persoonlijke informatie van mensen gebruiken om geautomatiseerde beslissingen over hen te nemen, wanneer ze de relevante waarborgen gebruiken.

4. Cookies: Sommige soorten cookies kunnen worden ingesteld zonder dat hiervoor toestemming is vereist, bijvoorbeeld cookies die worden gebruikt om informatie te verzamelen voor het verbeteren van de functionaliteit van de website.

Belangrijkste wijzigingen

De belangrijkste veranderingen in de DUAA zijn onder andere:

Geautomatiseerde besluitvorming (ADM): staat organisaties toe om in ruimere omstandigheden beslissingen te nemen die alleen op geautomatiseerde verwerking zijn gebaseerd, op voorwaarde dat bepaalde waarborgen zijn ingebouwd. Deze waarborgen omvatten het informeren van de persoon en het bieden van het recht op menselijke tussenkomst met betrekking tot de besluitvorming. Er zijn echter beperkingen op ADM voor speciale categorieën van gegevens.
Onderwerp Toegangeen 'stop de klok' regel, waardoor antwoordtermijnen kunnen worden onderbroken als er meer informatie nodig is van de verzoeker. Bovendien hoeven organisaties, wanneer iemand toegang tot hun gegevens vraagt, alleen redelijke en proportionele zoekopdrachten uit te voeren.
Erkende legitieme belangen: een nieuwe rechtsgrond voor de verwerking van persoonsgegevens. Als deze rechtsgrond van toepassing is, is het niet nodig om de gevolgen voor de mensen van wie de persoonsgegevens worden gebruikt, af te wegen tegen de voordelen. Gewoonlijk wordt dit gedaan door een Legitimate Interests Assessment (LIA) uit te voeren. De DUAA bevat een lijst met vooraf goedgekeurde grondslagen, waaronder nationale veiligheid, reageren op noodsituaties en het beschermen van kinderen of personen die risico lopen.
Gegevensbescherming kinderenWanneer organisaties een onlinedienst aanbieden die waarschijnlijk door kinderen zal worden gebruikt, moeten ze overwegen hoe ze kinderen kunnen ondersteunen en beschermen wanneer ze overwegen hoe ze hun persoonlijke informatie zullen gebruiken.
Klachten: verplichting om mensen te helpen die klachten willen indienen over de behandeling van hun persoonlijke gegevens en een termijn voor ontvangstbevestiging (binnen 30 dagen en om 'zonder onnodige vertraging' te reageren).

Nieuwe ICO-bevoegdheden

Bedrijven moeten zich ervan bewust zijn dat onder de DUAA de ICO zal worden geherstructureerd op een manier die vergelijkbaar is met andere regelgevende instanties in het Verenigd Koninkrijk, met een CEO en een bestuur. Paul Arnold is aangekondigd als de eerste CEO. De bevoegdheden van de ICO worden ook uitgebreid, met nieuwe onderzoeks- en handhavingsbevoegdheden en de mogelijkheid om boetes op te leggen tot 17,5 miljoen pond of 4% van de wereldwijde omzet. Een van de nieuwe bevoegdheden van de ICO is de mogelijkheid om 'interview notices' en 'information notices' uit te vaardigen, waarbij de ICO beoordeelt of gegevensbeschermingsbepalingen zijn geschonden. De ICO zal een evenwicht moeten vinden tussen deze ruimere bevoegdheden en haar nieuwe plichten en rapportageverplichtingen.

Het is daarom belangrijker dan ooit om ervoor te zorgen dat organisaties compliant zijn en de juiste gegevens kunnen overleggen en hun processen kunnen rechtvaardigen. Als het gaat om het gebruik van AI-systemen, moeten bedrijven begrijpen welke risico's daaraan verbonden zijn, hoe ze die risico's kunnen beperken en welke privacykwesties zich kunnen voordoen.

De ICO bevestigt in haar leidraad dat ze zal blijven opereren als een "betrouwbare, eerlijke en onafhankelijke toezichthouder" en dat ze zich zal richten op het blijven aanbieden van advies en diensten terwijl ze "de regeldruk zal verminderen" en "innovatie en groei" zal aanmoedigen.

Zorgen voor naleving

De vereisten begrijpen

Bedrijven moeten alle belangrijke bepalingen doornemen en zich bewust zijn van bestaande en toekomstige wijzigingen om ervoor te zorgen dat relevante beleidsregels en praktijken waar nodig worden bijgewerkt. We raden bedrijven ook aan om de relevante richtlijnen te lezen waarnaar hieronder wordt verwezen en te blijven uitkijken naar verdere commentaren en richtlijnen (merk op dat verdere ICO richtlijnen te zijner tijd zullen worden gepubliceerd).

Om aan de vereisten te voldoen, is het van cruciaal belang om te begrijpen welke wijzigingen van toepassing zijn op jouw specifieke bedrijfsmodel en welke onderdelen van je bedrijf zullen worden beïnvloed.

De DUAA is uitgebreid en het kan de moeite waard zijn om juridisch advies in te winnen om ervoor te zorgen dat je bedrijf in het algemeen voldoet aan de huidige regelgeving voor gegevensbescherming en voorbereid is op toekomstige veranderingen.

Beleid, contracten, trainingsmateriaal en systemen bijwerken

Het is ook belangrijk om na te gaan of eventuele trainingsmaterialen voor werknemers en klantencontracten moeten worden bijgewerkt. Niet alleen zal het bijwerken van beleid en contracten helpen om naleving te garanderen, maar het kan ook het vertrouwen van klanten bevorderen en risico's minimaliseren.

Bedrijfsspecifieke voorbeelden van het bijwerken van systemen en beleid:

Een adequaat systeem opzetten voor de behandeling van klachten met betrekking tot het gebruik van gegevens, als dat nog niet is gebeurd.
Het opzetten van een adequaat systeem voor de bescherming van kinderen die online systemen gebruiken.
Alle verwerkingen op basis van erkende legitieme belangen vastleggen en in kaart brengen en het privacybeleid aanpassen om dit te weerspiegelen.
Het onderzoeken en vastleggen van het gebruik van AI in geautomatiseerde besluitvorming door uw organisatie, hoe deze systemen werken, het soort gegevens dat wordt ingevoerd en de redenering voor het gebruik van geautomatiseerde besluitvorming.
Als u veranderingen aanbrengt in uw processen om innovatie te verbeteren, moet u het privacybeleid en relevante contracten dienovereenkomstig aanpassen.
Ervoor zorgen dat het beleid duidelijk maakt welke waarborgen er zijn met betrekking tot geautomatiseerde besluitvorming.
Overweeg de aanstelling van een functionaris voor gegevensbescherming (Data Protection Officer, DPO) om toezicht te houden op de naleving en als contactpersoon te fungeren voor vragen over gegevens.

ICO-richtlijnen: Britse organisaties kunnen profiteren van nieuwe wetten voor gegevensbescherming | ICO

Richtlijnen van de overheid: Data (Use and Access) Act 2025: wijzigingen op het gebied van gegevensbescherming en privacy. GOV.UK

Ander nieuws

23andMe

23andMe, een bedrijf dat genetische tests uitvoert, heeft van de ICO een boete van 2,31 miljoen pond gekregen omdat het onvoldoende veiligheidsmaatregelen had genomen om persoonlijke gegevens te beschermen. Dit volgt op een cyberaanval in 2023 die leidde tot de blootstelling van de persoonlijke gegevens (inclusief genetische gegevens) van meer dan 150.000 gebruikers in het Verenigd Koninkrijk en miljoenen wereldwijd. Er werd gemeld dat hoewel er eerder in 2023 beweringen waren over gegevensdiefstal, die als niet legitiem werden afgewezen, er geen volledig onderzoek plaatsvond totdat de gestolen gegevens in oktober 2023 te koop werden aangeboden op Reddit. Deze zaak benadrukt het belang van adequate beveiligingsmaatregelen, zoals multi-factor authenticatie, en het nemen van extra voorzorgsmaatregelen bij het bewaren van gegevens uit speciale categorieën.

EU verlengt toereikendheidsbesluiten voor het VK met 6 maanden

De Europese Commissie heeft haar adequaatheidsbesluiten met betrekking tot gegevensoverdrachten met het VK met 6 maanden verlengd, zodat deze nu op 27 december 2025 aflopen. Dit geeft tijd voor de beoordeling van de DUAA. Adequaatheid' is hoe de EU het vermogen beschrijft van landen die in staat worden geacht om een 'in wezen gelijkwaardig' niveau van gegevensbescherming te bieden als de EU.

Internet der dingen - bijgewerkte ICO-richtlijnen

De ICO heeft bijgewerkte richtlijnen gepubliceerd met betrekking tot de verwerking van persoonsgegevens in Internet of Things (IoT)-producten voor consumenten en de manier waarop de Britse wetgeving inzake gegevensbescherming en de Privacy and Electronic Communications Regulations 2003 worden toegepast. Voorbeelden van IoT-producten voor consumenten zijn slimme gloeilampen en slimme horloges. Bekijk de volledige richtlijnen hier: Over deze richtlijn | ICO.

De nieuwe AI-wetten van Brazilië

Brazilië stelt een wetsvoorstel voor AI-regulering voor dat gericht is op risico's en het vaststellen van individuele rechten. Bepaalde AI-systemen worden in het wetsvoorstel aangemerkt als systemen met een buitensporig hoog risico, bijvoorbeeld systemen die worden gebruikt voor 'social scoring' (waarbij AI wordt gebruikt om individuen een waarde toe te kennen op basis van hun waarde door hen te monitoren, waarbij je rechten worden vastgesteld).

Hoe we kunnen helpen

Wij kunnen u helpen om inzicht te krijgen in de manier waarop de Britse gegevenswetten van invloed zijn op uw bedrijf en hoe u uw organisatie het beste kunt beschermen. Als u uw beleid en contracten wilt herzien of bijwerken, neem dan contact op met ons team.

Auteur

Olivia Crolla

Advocaat

Telefoon:

+442039478891

E-mail

o.crolla@rfblegal.co.uk

Neem contact met ons op

Het kantoor heeft uitzonderlijke advocaten op alle niveaus. Wanneer je een advocaat van RFB opdracht geeft, voel je de volle kracht van het team dat je ondersteunt.

De Juridische 500

(2024)

RFB geeft Magic Circle service zonder Magic Circle tarieven in rekening te brengen.

De Juridische 500

(2024)

Dit is de meest toegewijde, gemotiveerde en gepassioneerde groep advocaten waar ik ooit mee heb mogen werken.

De Juridische 500

(2024)

Ronald Fletcher Baker levert zeer vastberaden en gedreven diensten op het gebied van geschillen over onroerend goed met een klantgerichte houding. Het litigation team is goed gemotiveerd en gestructureerd en wordt uitstekend begeleid.

De Juridische 500

(2024)

Zeer bekwaam, deskundig en enthousiast - ze doen meer voor hun klanten dan het gemiddelde kantoor. Ik werk graag met ze samen, omdat ze vaak met ideeën en ongebruikelijke invalshoeken voor een probleem komen. Ze werken intern goed samen en vullen hun advocaten aan voor een effectieve vertegenwoordiging in onroerend goed en geschillen over huurders en verhuurders.

De Juridische 500

(2024)

Erg vriendelijk en behulpzaam. Snelle reactietijd en maakte elke stap heel duidelijk. Ze hadden opties en alternatieven en gaven me het gevoel dat ik mijn keuzes kon overwegen en weloverwogen beslissingen kon nemen.

De Juridische 500

(2024)

Laten we het vanaf hier overnemen

Neem contact met ons op voor ongeëvenaarde juridische oplossingen. Ons toegewijde team staat klaar om u te helpen. Neem vandaag nog contact met ons op en ervaar uitmuntendheid in elke interactie.

Bel ons E-mail ons

Contactformulier
Als je wilt dat een van onze medewerkers contact met je opneemt, vul dan onderstaand formulier in

Uitgelichte inzichten

Ontdek de nieuwste juridische inzichten op RFB. Blijf op de hoogte met deskundige analyses, die u door het dynamische juridische landschap leiden.

Gids voor het nieuwe boekjaar: Zorg ervoor dat de juridische documenten van uw bedrijf up-to-date zijn

15-04-2025

Een gids voor de voorbereiding van de verkoop van uw aandelen in een besloten vennootschap, vooral wanneer u overweegt aandelen te verkopen

27-05-2025

Juridisch inzicht in de wereld van sportbestuur

26-06-2025

Commerciële contracten

27-05-2025

Juridische contracten opstellen: Navigeren door snelle technologische veranderingen voor uw bedrijf

22-05-2025

Legt uw franchiseovereenkomst een plicht tot goede trouw op? Is dit eerlijk en zou de APK-zaak het landschap kunnen veranderen?

7-07-2025

Hoe een bedrijfsjurist uw bedrijf vooruit kan helpen

10-06-2025

Hoe je als aandeelhouder een oneerlijk vooroordeel herkent en wat je eraan kunt doen

22-05-2025

De kunst van het onderhandelen over distributieovereenkomsten onder de knie krijgen: Tips voor succes

22-05-2025

Minderheidsaandeelhouders: Rechten en bescherming

18-09-2024

Partnerschapsgeschillen: Juridische inzichten en oplossingen

22-01-2025

Uw belangen beschermen wanneer een medeaandeelhouder-directeur failliet gaat

13-02-2025

Schaduw- en feitelijke bestuurders: Welke bent u en welke aansprakelijkheid hebt u?

12-02-2025

Geschillen over koopovereenkomsten: Geschillen met betrekking tot earn-outbepalingen

11-09-2024

Het belang van aandeelhoudersovereenkomsten

12-06-2025

De rol van arbitrage in commerciële geschillen

20-01-2025

Wat gebeurt er met aandelen als een aandeelhouder overlijdt?

12-06-2025

Wat u moet weten als u uw apotheek verkoopt

20-03-2025

Bezoek de sectie Inzichten