UK – Department for Digital, Culture, Media & Sport – Data: A New Direction
De Britse overheid heeft in september een reeks voorstellen gelanceerd om de huidige regelgeving inzake gegevensbescherming te hervormen naar een meer ambitieus, groeibevorderend en innovatievriendelijk wetgevend kader. De voorstellen bouwen voort op de belangrijkste elementen van de huidige UK GDPR-wetgeving, zoals de beginselen voor gegevensverwerking, de rechten van burgers op het gebied van gegevensverwerking en de mechanismen voor toezicht en handhaving. Met deze voorstellen tot wetswijziging wil de overheid onder andere economische groei stimuleren, ervoor zorgen dat het Verenigd Koninkrijk (VK) het ritme van innovatie en data-intensieve technologieën kan volgen en het verantwoordelijk gebruik van data door innovatieve bedrijven verzekeren.
Wat: Voorstel tot wetswijziging
Impactscore: 2
Voor wie: beleidsmakers, bedrijven en burgers
Key takeaways voor Vlaanderen:
De tekst bevat een reeks voorstellen voor de hervorming van de Britse gegevensbeschermingsautoriteit ICO, wat in het Verenigd Koninkrijk een discussie op gang heeft gebracht over de rol van de ICO. Eén van de voorstellen houdt in dat de functies van de Biometrics Commissioner (die het gebruik van DNA-stalen en vingerafdrukken beoordeelt) en de Surveillance Camera Commissioner (die het inzetten van camera’s door overheidsinstanties controleert) geïntegreerd zouden worden in de ICO.
De Commissioner voor biometrie en bewakingscamera's heeft een reactie gepubliceerd op de consulatation paper van de Britse overheid, waarin gesteld wordt stelt dat deze rol zeer gespecialiseerd is en het algemeen belang dient, en bijgevolg niet mag geïntegreerd worden in de ICO, die niet in staat zou zijn biometrie en bewakingscamera's voldoende aandacht te geven.
Een dergelijke overweging om gegevensbescherming en controle van het gebruik van biometrie en camera’s te splitsen kan ook een interessante denkpiste zijn voor Vlaanderen.
De voorstellen werden gelanceerd in de vorm van een consultatiepaper. Britse bedrijven en organisaties worden in het proces uitgenodigd om op de voorstellen feedback te formuleren. De Consultation Paper on Reforms to the UK Data Protection Regime – ‘Data: A New Direction’ bevat in totaal 74 voorstellen om de Britse GDPR- en privacywetgeving te hervormen. De overheid wil voornamelijk een aantal administratieve lasten uit de gegevensbeschermingswetgeving halen, waardoor het concept van een flexibeler, risicogebaseerd privacybeheer in de wetgeving kan worden opgenomen. De tekst bevat vijf hoofdstukken:
- Het reduceren van belemmeringen voor verantwoorde innovatie
- Het verlichten van de lasten voor het bedrijfsleven en het bewerkstelligen van betere resultaten voor burgers
- Het stimuleren van handel en het verminderen van belemmeringen voor dataverkeer
- Het realiseren van betere publieke dienstverlening
- De hervorming van de Britse toezichthoudende autoriteit, het Information Commissioner’s Office (ICO)
We vatten hieronder de belangrijkste elementen samen. De getallen tussen de haakjes die bij de voorstellen staan verwijzen naar de nummers van de referentie in het beleidsdocument.
Artificiële Intelligentie (AI)
Om de implementering van AI te verhogen, wil de overheid een beperkte, limitatieve lijst van gerechtvaardigde belangen opstellen waarvoor organisaties persoonsgegevens kunnen gebruiken zonder belangenafweging (balancing test) toe te passen (zie ook Artikel 6(1) GDPR). De lijst zou de verwerking van persoonsgegevens omvatten die nodig is om te zorgen voor toezicht op, opsporing van en correctie van bias in verband met AI-systemen (90).
Een vrij controversieel voorstel vraagt de schrapping van artikel 22 van de GDPR. Het artikel bepaalt dat niemand mag worden onderworpen aan een volledig geautomatiseerd besluitvormingsproces en garandeert dus een menselijke toetsing van algoritmische beslissingen, bijvoorbeeld voor gevoelige toepassingen zoals als kredietverstrekking of aanwerving (101).
Wetenschappelijk onderzoek
Een belangrijk voorstel in het pakket is het vereenvoudigen van het gebruik, het delen en het hergebruik van data voor onderzoek. De regering wil namelijk dat het VK het voortouw neemt bij het gebruik van data voor onderzoeksdoeleinden.
De tekst bevat een voorstel voor nieuwe afzonderlijke rechtsgrondslagen voor dataverwerking voor onderzoeksdoeleinden, en stelt expliciet dat het verdere gebruik van dezelfde dataset voor wetenschappelijk onderzoek altijd zowel (i) verenigbaar moet zijn met het oorspronkelijke doel; en (ii) rechtmatig moet zijn.
De overheid wil de huidige wetgeving actualiseren om onderzoekers in staat te stellen persoonsgegevens van individuen te gebruiken op basis van hun toestemming, zelfs indien het niet mogelijk is het doel van de verwerking van persoonsgegevens volledig vast te stellen op het tijdstip waarop de gegevens worden verzameld. Verdere voorgestelde hervormingen zouden het verdere gebruik van gegevens voor onderzoeksdoeleinden mogelijk maken wanneer deze voor een afzonderlijk doel zijn verzameld (40-50).
Cookies
De Britse overheid stelt voor dat organisaties via cookie pop-ups, zonder toestemming van de gebruiker, gebruik kunnen maken van gegevensanalyse of informatie kunnen verzamelen uit cookies voor andere beperkte doeleinden (zoals bijvoorbeeld het detecteren van technische fouten en het toestaan van het gebruik van video). De overheid doet dit voorstel omdat de huidige manier (om toestemming van mensen te vragen via cookie pop-ups) momenteel niet als zinvol wordt beschouwd (198-200).
Gerechtvaardigd belang
Zoals we hierboven bij het onderdeel AI al aangaven, stelt de Britse overheid een hervorming voor van het gerechtvaardigd belang als grondslag voor de verwerking van persoonsgegevens, met als rechtvaardiging onnodig gebruik van toestemming. Momenteel moeten de verwerkingsverantwoordelijken in het VK een rechtmatige grond aangeven alvorens persoonsgegevens te verwerken. Hierop kan echter alleen een beroep worden gedaan voor zover de belangen van de organisatie niet zwaarder wegen dan de belangen van het individu (belangenafweging ). De Britse regering is van mening dat de toepassing van de afwegingstoets te ingewikkeld is en organisaties ertoe dwingt zich ten onrechte te beroepen op een andere wettige grond: toestemming. De regering wil dit aanpakken door de afwegingstoets te schrappen voor een beperkte lijst van gerechtvaardigde belangen die door het VK in toekomstige ontwerpwetgeving moet worden gespecificeerd (60).
Verzoek van toegang door de betrokkene
Een ander voorstel heeft tot doel vergoedingen in te voeren voor een verzoek tot toegang. Met een verzoek tot toegang kunnen personen de juistheid van hun persoonsgegevens controleren, meer te weten komen over hoe hun gegevens worden gebruikt en met wie hun gegevens worden gedeeld, en een kopie krijgen van de gegevens die over hen worden bewaard.
Er worden drie verschillende maatregelen voorgesteld:
- Toestaan dat verzoeken om toegang worden geweigerd om redenen die verband houden met de kosten;
- De verwerkingsverantwoordelijken verplichten om verzoekers advies en bijstand te verlenen indien hun verzoek wordt geweigerd omwille van kosten
- Toestaan dat lastige verzoeken worden geweigerd omdat ze te complex zijn (188).
Melding van inbreuken
Een organisatie moet een datalek melden volgens artikel 33 van de GDPR, tenzij het onwaarschijnlijk is dat deze inbreuk een risico vormt voor de rechten en vrijheden van personen. De Britse overheid meent dat dit een onevenredige last kan leggen op organisaties. Het wil daarom een drempel invoeren waarbij een organisatie een inbreuk die niet substantieel is, niet meer hoeft te melden. De Information Commissioner’s Office zal richtlijnen en voorbeelden geven van wat niet-substantiële risico’s zijn (180-184).
Aansprakelijkheid
De overheid voert aan dat het toetsen van de verantwoordingsplicht van een organisatie aan precieze voorschriften een onevenredige administratieve last kan veroorzaken, zeker voor kleine en middelgrote ondernemingen. Het stelt daarom voor deze voorschriften te vervangen door een systeem op basis van privacybeheerprogramma's (PMP's). Deze vorm van verantwoordingsplicht bestaat reeds in sommige andere rechtsgebieden, zoals Singapore, Australië en Canada en biedt bedrijven die deze programma's met succes uitvoeren concurrentievoordelen.
De noodzaak voor bedrijven om een data protection impact assesment inzake gegevensbescherming uit te voeren (167) en het Britse Information Commissioner's Office (ICO) te raadplegen in verband met de verwerking van persoonsgegevens met een hoog risico die niet kan worden beperkt (172), is een van de bepalingen die volgens de voorstellen uit de wetgeving zouden worden geschrapt (177). Bestaande verplichtingen inzake het bijhouden van registers zouden ook worden vervangen door flexibelere voorschriften die volgens de regering beter zouden aansluiten bij het volume en de gevoeligheid van de persoonsgegevens die bedrijven verwerken (184c).
Internationale data transfers
De wederzijdse erkenning van de datawetgeving van het VK en de EU betekent dat data ook na de brexit vrij tussen het VK en de EU kunnen blijven stromen. De Britse regering wil echter meer landen toevoegen aan de lijst van landen die zij, zoals de landen van de EU, als "adequaat" beschouwt. Om te beslissen wie de volgende op de lijst wordt, stelt de Britse regering een risicogebaseerd beoordelingssysteem voor, met vier fasen voor een besluit over de adequaatheid van de wetgeving, waardoor het een meerlagig proces wordt.
De hervorming van de Britse toezichthoudende autoriteit, het Information Commissioner’s Office (ICO)
De consultatiepaper bevat een hele reeks voorstellen om het wetgevend kader te hervormen dat de basis vormt voor de rol, status en macht van de ICO. De voorstellen houden onder meer in dat de interne structuur van de organisatie omgevormd wordt en dat de ICO bij het uitvoeren van zijn taken niet alleen rekening moet houden met gegevensbescherming, maar ook met economische groei, innovatie en concurrentie. De toezichthoudende autoriteit zou zo dus een uitgebreider mandaat krijgen om meer economische voordelen te genereren voor het VK.
Conclusie:
De raadpleging bevestigt de wens van de Britse regering om haar eigen weg te gaan als het gaat om de wetgeving inzake gegevensbescherming. Het stelt een manier voor waarop regeringen en regelgevende instanties de regelgeving inzake gegevensbescherming kunnen bekijken bij hun pogingen om een evenwicht te vinden tussen het streven naar innovatie en groei enerzijds en het beschermen van privacyrechten en -belangen anderzijds.
Een belangrijke factor waarmee rekening moet gehouden worden is dat elke afwijking van de GDPR door de Britse regering het besluit van de EU in juni 2021 om de Britse wetgeving inzake gegevensbescherming als adequaat te beschouwen, in gevaar kan brengen. De adequaatheidsbeslissing kan over vier jaar, of eerder indien nodig, door de Europese Commissie worden herzien.