UK – Department for Digital, Culture, Media & Sport – Data: A New Direction

De voorstellen van de Britse overheid bouwen voort op de belangrijkste elementen van de huidige UK GDPR-wetgeving, zoals de beginselen voor gegevensverwerking, de rechten van burgers op het gebied van gegevensverwerking en de mechanismen voor toezicht en handhaving. Met deze wetswijzigingen wil de overheid onder andere economische groei stimuleren, ervoor zorgen dat het Verenigd Koninkrijk (VK) het ritme van innovatie en data-intensieve technologieën kan volgen en het verantwoordelijk gebruik van data door innovatieve bedrijven verzekeren.

Wat: Voorstel tot wetswijziging

Impactscore: 2

Voor wie: beleidsmakers, bedrijven en burgers

Link

De voorstellen werden gelanceerd in de vorm van een consultatiepaper. Britse bedrijven en organisaties worden in het proces uitgenodigd om op de voorstellen feedback te formuleren. De Consultation Paper on Reforms to the UK Data Protection Regime – ‘Data: A New Direction’ bevat in totaal 74 voorstellen om de Britse GDPR- en privacywetgeving te hervormen. De overheid wil voornamelijk een aantal administratieve lasten uit de gegevensbeschermingswetgeving halen, waardoor het concept van een flexibeler, risicogebaseerd privacybeheer in de wetgeving kan worden opgenomen. De tekst bevat vijf hoofdstukken:

  1. Het reduceren van belemmeringen voor verantwoorde innovatie
  2. Het verlichten van de lasten voor het bedrijfsleven en het bewerkstelligen van betere resultaten voor burgers
  3. Het stimuleren van handel en het verminderen van belemmeringen voor dataverkeer
  4. Het realiseren van betere publieke dienstverlening
  5. De hervorming van de Britse toezichthoudende autoriteit, het Information Commissioner’s Office (ICO)

We vatten hieronder de belangrijkste elementen samen. De getallen tussen de haakjes die bij de voorstellen staan verwijzen naar de nummers van de referentie in het beleidsdocument.

Artificiële Intelligentie (AI)

Om de implemantie van AI te verhogen, wil de overheid een beperkte, limitatieve lijst van legitieme belangen opstellen waarvoor organisaties persoonsgegevens kunnen gebruiken zonder de afwegingstoets (balancing test) toe te passen (zie ook Artikel 6(1) GDPR). De lijst zou de verwerking van persoonsgegevens omvatten die nodig is om te zorgen voor toezicht op, opsporing van en correctie van bias in verband met AI-systemen (90).

Een vrij controversieel voorstel vraagt de schrapping van artikel 22 van de GDPR. Het artikel bepaalt dat niemand mag worden onderworpen aan een volledig geautomatiseerd besluitvormingsproces en garandeert dus een menselijke toetsing van algoritmebeslissingen, bijvoorbeeld voor gevoelige toepassingen zoals als kredietverstrekking of aanwerving (101).



Wetenschappelijk onderzoek

Een belangrijk voorstel in het pakket is het vereenvoudigen van het gebruik, het delen en het hergebruik van data voor onderzoek. De regering wil namelijk dat het VK het voortouw neemt bij het gebruik van data voor onderzoeksdoeleinden.

De tekst bevat een voorstel voor nieuwe afzonderlijke rechtsgrondslagen voor dataverwerking voor onderzoeksdoeleinden, en stelt expliciet dat het verdere gebruik van dezelfde dataset voor wetenschappelijk onderzoek altijd zowel (i) verenigbaar moet zijn met het oorspronkelijke doel; en (ii) rechtmatig moet zijn.

De overheid wil de huidige wetgeving actualiseren om onderzoekers in staat te stellen persoonsgegevens van individuen te gebruiken op basis van hun toestemming, zelfs indien het niet mogelijk is het doel van de verwerking van persoonsgegevens volledig vast te stellen op het tijdstip waarop de gegevens worden verzameld. Verdere voorgestelde hervormingen zouden het verdere gebruik van gegevens voor onderzoeksdoeleinden mogelijk maken wanneer deze voor een afzonderlijk doel zijn verzameld (50).

Cookies

De Britse overheid stelt voor dat organisaties via cookie pop-ups, zonder toestemming van de gebruiker, gebruik kunnen maken van gegevensanalyse of informatie kunnen verzamelen uit cookies voor andere beperkte doeleinden (zoals bijvoorbeeld het detecteren van technische fouten en het toestaan van het gebruik van video). De overheid doet dit voorstel omdat de huidige manier om toestemming van mensen te vragen via cookie pop-ups momenteel niet als zinvol wordt beschouwd (198-200).

Rechtmatig belang

Zoals we hierboven bij het onderdeel AI al aangaven, stelt de Britse overheid een hervorming voor van het rechtmatige belang als grondslag voor de verwerking van persoonsgegevens, met als rechtvaardiging onnodig gebruik van toestemming. Momenteel moeten de verwerkingsverantwoordelijken in het VK een rechtmatige grond aangeven alvorens persoonsgegevens te verwerken. Hierop kan echter alleen een beroep worden gedaan voor zover de belangen van de organisatie niet zwaarder wegen dan de belangen van het individu (de afwegingstoets). De Britse regering is van mening dat de toepassing van de afwegingstoets te ingewikkeld is en organisaties ertoe dwingt zich ten onrechte te beroepen op een andere wettige grond: toestemming. De regering wil dit aanpakken door de afwegingstoets te schrappen voor een beperkte lijst van legitieme belangen die door het VK in toekomstige ontwerpwetgeving moet worden gespecificeerd (60).

Verzoek van toegang door de betrokkene

Een ander voorstel heeft tot doel vergoedingen in te voeren voor een verzoek tot toegang. Met een verzoek tot toegang kunnen personen de juistheid van hun persoonsgegevens controleren, meer te weten komen over hoe hun gegevens worden gebruikt en met wie hun gegevens worden gedeeld, en een kopie krijgen van de gegevens die over hen worden bewaard.

Er worden drie verschillende maatregelen voorgesteld:

  1. Toestaan dat verzoeken om toegang worden geweigerd om redenen die verband houden met de kosten;
  2. De verwerkingsverantwoordelijken verplichten om verzoekers advies en bijstand te verlenen indien hun verzoek wordt geweigerd omwille van kosten
  3. Toestaan dat lastige verzoeken worden geweigerd omdat ze te complex zijn (188).

    Melding van inbreuken

    Een organisatie moet een datalek melden volgens artikel 33 van de GDPR, tenzij het onwaarschijnlijk is data deze inbreuk een risico vormt voor de rechten en vrijheden van personen. De Britse overheid meent dat dit een onevenredige last kan leggen op organisaties. Het wil daarom een drempel invoeren waarbij een organisatie een inbreuk die niet substantieel is, niet meer hoeft te melden. De Information Commissioner’s Office zal richtlijnen en voorbeelden geven van wat niet-substantiële risico’s zijn (180-184).

    Aansprakelijkheid
    De overheid voert aan dat het toetsen van de verantwoordingsplicht van een organisatie aan precieze voorschriften een onevenredige administratieve last kan veroorzaken, zeker voor kleine en middelgrote ondernemingen. Het stelt daarom voor deze voorschriften te vervangen door een systeem op basis van privacybeheerprogramma's (PMP's). Deze vorm van verantwoordingsplicht bestaat reeds in sommige andere rechtsgebieden, zoals Singapore, Australië en Canada en biedt bedrijven die deze programma's met succes uitvoeren concurrentievoordelen en voordelen op het gebied van reputatie.

    De noodzaak voor bedrijven om een data protection impact assesment inzake gegevensbescherming uit te voeren (167) en het Britse Information Commissioner's Office (ICO) te raadplegen in verband met de verwerking van persoonsgegevens met een hoog risico die niet kan worden beperkt (172), is een van de bepalingen die volgens de voorstellen uit de wetgeving zouden worden geschrapt (177). Bestaande verplichtingen inzake het bijhouden van registers zouden ook worden vervangen door flexibelere voorschriften die volgens de regering beter zouden aansluiten bij het volume en de gevoeligheid van de persoonsgegevens die bedrijven verwerken (184c).

    Internationale data transfers

De wederzijdse erkenning van de datawetgeving van het VK en de EU betekent dat data ook na de brexit vrij tussen het VK en de EU kunnen blijven stromen. De Britse regering wil echter meer landen toevoegen aan de lijst van landen die zij, zoals de landen van de EU, als "adequaat" beschouwt. Om te beslissen wie de volgende op de lijst wordt, stelt de Britse regering een risicogebaseerd beoordelingssysteem voor, met vier fasen voor een besluit over de adequaatheid van de wetgeving, waardoor het een meerlagig proces wordt.

De hervorming van de Britse toezichthoudende autoriteit, het Information Commissioner’s Office (ICO)

De consultatiepaper bevat een hele reeks voorstellen om het wetgevend kader te hervormen dat de basis vormt voor de rol, status en macht van de ICO. De voorstellen houden onder meer in dat de interne structuur van de organisatie omgevormd wordt en dat de ICO bij het uitvoeren van zijn taken niet alleen rekening moet houden met gegevensbescherming, maar ook met economische groei, innovatie en concurrentie. De toezichthoudende autoriteit zou zo dus een uitgebreider mandaat krijgen om meer economische voordelen te genereren voor het VK.

Conclusie:

De nieuwe raadpleging bevestigt de wens van de Britse regering om haar eigen weg te gaan als het gaat om de wetgeving inzake gegevensbescherming en is een zeer belangrijke ontwikkeling voor zowel het Verenigd Koninkrijk als de manier waarop regeringen en regelgevende instanties meer in het algemeen de regelgeving inzake gegevensbescherming in de toekomst zullen bekijken bij hun pogingen om een evenwicht te vinden tussen het verlangen naar innovatie en groei enerzijds en privacyrechten en -belangen anderzijds.

Een andere factor bij toekomstige wetgeving is dat elke afwijking van de GDPR door de Britse regering het besluit van de EU in juni 2021 om de Britse wetgeving inzake gegevensbescherming als adequaat te beschouwen, in gevaar kan brengen, een besluit dat over vier jaar, of eerder indien nodig, door de Europese Commissie zal worden herzien.