Toen het VK zich in januari 2021 formeel afscheidde van de EU-wetgeving voor gegevensbescherming, gingen veel organisaties ervan uit dat de overgang administratief zou zijn. Rebrand de AVG, benoem een lokale vertegenwoordiger, werk de privacyverklaring bij. Wat volgde was veeleisender. De Information Commissioner's Office legde in de jaren na de invoering van de wet ongeveer £65 miljoen aan AVG-gerelateerde boetes op. Capita ontving in oktober 2025 £14 miljoen aan boetes in één enkele sanctie. De ICO publiceerde in maart 2024 bijgewerkte richtlijnen voor boetes die het traject van overtreding naar maximale boete systematischer maakten. En op 19 juni 2025 ontving de Data (Use and Access) Act koninklijke goedkeuring, waarmee de belangrijkste wijzigingen in de Britse wet op gegevensbescherming sinds Brexit werden doorgevoerd: nieuwe legitieme belangencategorieën, hervormde regels voor cookietoestemming, bijgewerkte bepalingen voor geautomatiseerde besluitvorming en versterkte verplichtingen voor klachtenafhandeling.
Hoewel de Britse AVG nauw aansluit bij zijn EU-tegenhanger, is het een afzonderlijk regelgevend kader met zijn eigen toezichthoudende autoriteit, overdrachtsmechanismen en een zich ontwikkelende hervormingsagenda. Voor elke organisatie die persoonsgegevens van Britse inwoners verwerkt, of deze nu gevestigd is in Londen of Los Angeles, is het begrijpen van wat de Britse AVG daadwerkelijk vereist, op wie het van toepassing is en wat niet-naleving in de praktijk kost, niet langer optionele achtergrondinformatie. Deze gids biedt die basis.
Op wie is de Britse AVG van toepassing?
De Britse AVG is van toepassing op elke organisatie die persoonsgegevens van Britse inwoners verwerkt, ongeacht waar die organisatie is gevestigd. Een Amerikaans softwarebedrijf met Britse klanten moet zich hieraan houden. Een EU-bedrijf dat gegevens verwerkt van personen die in het Verenigd Koninkrijk wonen, moet zich hieraan houden. De verordening is van toepassing op verwerkingsverantwoordelijken, die de doeleinden en middelen van verwerking bepalen, en op verwerkers, die gegevens verwerken namens verwerkingsverantwoordelijken. Beide hebben specifieke verplichtingen en beide kunnen worden beboet.
De territoriale reikwijdte wordt bevestigd door twee voorwaarden: verwerking wordt uitgevoerd in het kader van een Britse vestiging, of de verwerking heeft betrekking op het aanbieden van goederen of diensten aan Britse betrokkenen, of het monitoren van hun gedrag in het VK. Organisaties gevestigd buiten het VK die aan een van beide voorwaarden voldoen, moeten een Britse vertegenwoordiger aanstellen, tenzij zij in aanmerking komen voor een vrijstelling. Sinds 2021 heeft de ICO handhaving nagestreefd tegen niet-Britse entiteiten, waaronder de boete van £7,5 miljoen tegen Clearview AI en regelgevende actie tegen verschillende Amerikaanse gegevensmakelaars die actief zijn op de Britse markten zonder nalevingsinfrastructuur.
De zeven kernbeginselen van de Britse AVG
Artikel 5 van de Britse AVG stelt zeven beginselen vast die alle verwerking van persoonsgegevens regelen. Dit zijn geen aspirationele richtlijnen. Schending van de basisbeginselen brengt de hoogste categorie van administratieve boete met zich mee: tot £17,5 miljoen of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat het hoogst is. Elke gegevensverwerkingsactiviteit die door een organisatie wordt uitgevoerd, moet verdedigbaar zijn onder alle zeven volgende beginselen.
| Beginsel | Wat het vereist | Bedrijfsrisico |
|---|---|---|
| Rechtmatigheid, eerlijkheid & transparantie | Duidelijke rechtsgrondslag voor verwerking; geen misleidende gegevenspraktijken | £17,5 miljoen / 4% wereldwijde omzet |
| Doelbinding | Gegevens alleen gebruikt voor gespecificeerde, expliciete, legitieme doeleinden | ICO-handhavingsbericht + boete |
| Gegevensminimalisatie | Alleen verzamelen wat adequaat, relevant en noodzakelijk is | Berisping + nalevingsbevel |
| Juistheid | Persoonsgegevens actueel houden; prompt wissen of rectificeren | Schadevergoedingsclaims + boetes |
| Opslagbeperking | Gegevens niet langer bewaren dan noodzakelijk | ICO-audit + handhaving |
| Integriteit & vertrouwelijkheid | Technische en organisatorische beveiligingsmaatregelen vereist | Tot £17,5 miljoen (Capita: £14 miljoen) |
| Verantwoordingsplicht | Naleving aantonen; ROPA bijhouden | Auditfalen = onmiddellijke boete |
Het beginsel van verantwoordingsplicht verdient bijzondere aandacht omdat het het mechanisme is waarmee alle andere worden gehandhaafd. Verantwoordingsplicht onder de Britse AVG is niet passief: organisaties moeten actief naleving aantonen, een register van verwerkingsactiviteiten (ROPA) bijhouden, gegevensbeschermingseffectbeoordelingen (DPIA's) uitvoeren voor hoogrisicovolle verwerking en een functionaris voor gegevensbescherming (FG) aanstellen waar vereist. De ICO kan op elk moment bewijs van deze activiteiten opvragen, en het niet kunnen produceren ervan vormt onafhankelijk een overtreding.
Rechtsgrondslagen voor verwerking
Elke verwerkingsactiviteit vereist een rechtsgrondslag. De Britse AVG voorziet in zes grondslagen: toestemming, contract, wettelijke verplichting, vitale belangen, publieke taak en gerechtvaardigde belangen. De keuze van rechtsgrondslag is niet uitwisselbaar en moet worden bepaald voordat de verwerking begint. Het achteraf wisselen van rechtsgrondslag is niet toegestaan.
Toestemming onder de Britse AVG moet vrijelijk worden gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn. Vooraf aangevinkte vakjes, gebundelde toestemming en toestemming verkregen als voorwaarde voor een dienst voldoen niet aan de norm. Toestemming moet net zo eenvoudig in te trekken zijn als te geven. De Data (Use and Access) Act 2025 heeft de regels voor cookietoestemming bijgewerkt en vijf uitzonderingen geïntroduceerd waarbij toestemming niet vereist is, waaronder cookies die strikt noodzakelijk zijn voor een dienst die de gebruiker heeft aangevraagd, statistische doeleinden en noodhulp. Advertenties, analyses buiten deze uitzonderingen en personalisatiecookies vereisen echter nog steeds expliciete opt-in toestemming.
Gerechtvaardigde belangen worden vaak verkeerd toegepast. Het vereist een driedelige beoordeling: identificatie van een gerechtvaardigd belang, aantonen dat verwerking noodzakelijk is voor dat belang en het afwegen tegen de rechten van de betrokkene. De DUAA 2025 introduceerde een lijst van erkende gerechtvaardigde belangen waar de belangenafweging als voldaan wordt beschouwd, waaronder fraudepreventie, netwerkbeveiliging en direct marketing naar bestaande klanten. Buiten deze categorieën is een gedocumenteerde belangenafweging verplicht.
Individuele rechten onder de Britse AVG
De Britse AVG verleent acht afdwingbare rechten aan betrokkenen. Organisaties moeten binnen één maand reageren op verzoeken, verlengbaar met twee maanden voor complexe verzoeken. Het niet reageren is op zich een overtreding die ICO-klachten en handhavingsmaatregelen kan veroorzaken.
Recht op toegang (DSAR): Personen kunnen alle over hen bewaarde persoonsgegevens opvragen. Organisaties moeten in de meeste gevallen gratis een kopie verstrekken. De DUAA 2025 codificeerde het 'stop de klok'-principe: reactietermijnen worden gepauzeerd wanneer verduidelijking wordt gevraagd aan de betrokkene.
Recht op gegevenswissing: Ook wel 'het recht om vergeten te worden' genoemd, stelt dit personen in staat om verwijdering van persoonsgegevens te verzoeken onder gedefinieerde omstandigheden, waaronder wanneer toestemming wordt ingetrokken of gegevens niet langer noodzakelijk zijn.
Recht op overdraagbaarheid: Personen kunnen persoonsgegevens opvragen in een machinaal leesbaar formaat voor overdracht naar een andere verwerkingsverantwoordelijke, wanneer verwerking is gebaseerd op toestemming of contract.
Recht van bezwaar: Personen kunnen bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of voor direct marketing. Bezwaren tegen direct marketing moeten altijd onmiddellijk worden gehonoreerd.
Rechten met betrekking tot geautomatiseerde besluitvorming: De DUAA 2025 introduceerde nieuwe regels die op AI gebaseerde geautomatiseerde beslissingen toestaan op grond van gerechtvaardigde belangen voor niet-gevoelige gegevens, met waarborgen waaronder rechten op menselijke tussenkomst.
Vereisten voor melding van datalekken
De Britse AVG legt strikte verplichtingen op voor melding van datalekken. Wanneer een datalek een risico vormt voor de rechten en vrijheden van personen, moet de ICO binnen 72 uur nadat de organisatie zich bewust werd van het lek worden geïnformeerd. Wanneer het lek waarschijnlijk een hoog risico voor personen met zich meebrengt, moeten getroffen betrokkenen ook zonder onnodige vertraging worden geïnformeerd.
De 72-uursklok begint wanneer de organisatie zich bewust wordt, niet wanneer het lek volledig is onderzocht. Organisaties moeten daarom beschikken over infrastructuur voor incidentdetectie, escalatie en rapportage die in staat is aan deze tijdlijn te voldoen. Het Capita-lek, dat in oktober 2025 resulteerde in een boete van £14 miljoen, betrof zowel inadequate beveiligingsmaatregelen als vertraagde incidentrespons: de ICO noemde de combinatie expliciet als verzwarende factoren bij de berekening van de boete.
Internationale gegevensoverdrachten
Het overdragen van persoonsgegevens buiten het VK vereist passende waarborgen. Het VK heeft zijn eigen adequaatheidskader en heeft adequaatheidsbeslissingen uitgevaardigd voor de EER, EU-lidstaten en een aantal derde landen. Voor overdrachten naar andere bestemmingen moeten organisaties International Data Transfer Agreements (IDTA's), het UK Addendum bij EU-standaard contractbepalingen of bindende bedrijfsregels gebruiken. De UK-US Data Bridge, opgericht in 2023, biedt een mechanisme voor overdrachten naar deelnemende Amerikaanse organisaties. Organisaties mogen niet aannemen dat EU AVG-overdrachtsmechanismen automatisch voldoen aan de vereisten van de Britse AVG: de kaders zijn gescheiden en ICO-richtlijnen zijn van toepassing.
Voor praktische implementatie biedt een toestemmingsbeheerplatform (CMP) dat internationale toestemmingssynchronisatie afhandelt en rechtmatige overdrachtsmechanismen documenteert een cruciale nalevingslaag, waardoor wordt gegarandeerd dat toestemming van betrokkenen die in het VK is vastgelegd correct wordt weerspiegeld in downstream-verwerking door verwerkers in niet-adequate landen.
De werkelijke kosten van niet-naleving van de Britse AVG
De ICO heeft tussen 2019 en september 2025 16 Britse AVG-boetes opgelegd voor in totaal ongeveer £65 miljoen. De volgende tabel geeft een overzicht van de belangrijkste boetes en de overtredingen die deze veroorzaakten.
| Organisatie | Boete | Jaar | Overtreding |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | £14 miljoen | Oktober 2025 | Ransomware-lek; 6,6 miljoen betrokkenen |
| Advanced Computer Software Group | £3,07 miljoen | 2025 | Ransomware-kwetsbaarheden; NHS-gegevens |
| British Airways | £20 miljoen | 2020 | Datalek; 400.000 getroffen klanten |
| Clearview AI | £7,5 miljoen | 2022 | Onrechtmatig biometrisch scrapen van internet |
Financiële boetes vertegenwoordigen slechts een deel van de werkelijke kosten. Niet-financiële handhavingsmaatregelen, waaronder verwerkingsverboden, nalevingsbevelen en opschorting van gegevensstromen, kunnen de bedrijfsvoering ernstiger verstoren dan boetes. Reputatieschade door openbare ICO-handhavingsberichten leidt tot klantverloop, verslechtering van partnerrelaties en verlies van ondernemingscontracten. Onderzoek van het Ponemon Institute toont consistent aan dat de totale kosten van een datalek, inclusief detectie, melding, regelgevende respons en bedrijfsverstoring, de regelgevende boete met een factor drie tot vijf overschrijden.
Hoe Britse AVG-nalevingsinfrastructuur eruitziet in 2026
Effectieve Britse AVG-naleving in 2026 vereist meer dan een privacybeleid en een cookiebanner. Het vereist gedocumenteerde processen, technische controles en voortdurende operationele capaciteit. De online trackingstrategie van de ICO uit 2025 heeft het toezicht op de implementatie van toestemming geïntensiveerd, met specifieke aandacht voor de vraag of toestemmingsrecords daadwerkelijk geldige toestemming op individueel niveau kunnen aantonen.
Een toestemmingsbeheerplatform (CMP) dat niet-essentiële cookies blokkeert vóór geldige toestemming, gedetailleerde toestemmingsrecords met tijdstempels bijhoudt en voorkeuren synchroniseert over web- en app-omgevingen is nu basisinfrastructuur voor elke Britse organisatie die online persoonsgegevens verzamelt. De ICO is sinds januari 2025 in gesprek met IAB Tech Lab over het Data Deletion Request Framework, waarbij wordt benadrukt dat intrekking van toestemming moet doorwerken naar derde partijen in het adtech-ecosysteem, niet alleen naar de eerstepartijverwerkingsverantwoordelijke.
Naast toestemming moeten organisaties een actuele ROPA bijhouden die alle verwerkingsactiviteiten omvat, een FG aanstellen waar vereist, DPIA's uitvoeren voor hoogrisicovolle projecten, personeel trainen op het gebied van gegevensbeschermingsverplichtingen en technische controles implementeren, waaronder encryptie, toegangscontroles en capaciteit voor detectie van lekken. Het Cyber Security Breaches Survey 2025 ontdekte dat 43 procent van de Britse bedrijven in de voorafgaande twaalf maanden lekken of aanvallen ervoer, wat overeenkomt met ongeveer 612.000 organisaties die beoordeling van lekmelding nodig hebben.
De Data (Use and Access) Act 2025, volledig van kracht sinds 5 februari 2026, vertegenwoordigt de belangrijkste update van de Britse wet op gegevensbescherming sinds Brexit. Organisaties die hun nalevingsprogramma's niet hebben herzien tegen de wijzigingen van de DUAA 2025, met name op het gebied van gerechtvaardigde belangen, cookietoestemmingsuitzonderingen, geautomatiseerde besluitvorming en verplichtingen voor klachtenafhandeling, moeten dit als een urgente prioriteit behandelen. De bijgewerkte boeterichtlijnen van de ICO, gepubliceerd in maart 2024, maken het traject van overtreding naar maximale boete systematischer, en het handhavingsdossier tot en met 2025 toont aan dat de autoriteit bereid is om aanzienlijke boetes op te leggen in alle sectoren.
De organisaties die de Britse AVG het meest effectief navigeren, zijn degenen die gegevensbescherming behandelen als operationele infrastructuur in plaats van juridische overhead. Voor Britse inwoners is naleving van de Britse AVG niet optioneel; het is de prijs voor het doen van zaken in een markt van 67 miljoen mensen van wie de gegevensrechten actief worden gehandhaafd. Het implementeren van robuuste infrastructuur voor toestemmingsbeheer, het bijhouden van uitgebreide documentatie en het opbouwen van capaciteit voor respons op lekken zijn geen nalevingskosten; ze vormen de basis van duurzame gegevensbewerkingen.
Voor verder lezen over toestemmingstechnologie en nalevingskaders, zie Marketing Compliance Technology: How Brands Are Navigating GDPR, Privacy Regulations and Brand Safety at Scale en Consent Management Platforms: GDPR, CCPA Compliance and the Technology of Consumer Choice.
