VK-AVG Na Brexit: Wat Er Is Veranderd
De UK Data Protection Act 2018 bracht UK-AVG in de wet. Het sluit nauw aan op EU-AVG — maar niet op elk gebied. Als u zowel in het VK als de EU werkt, heeft u twee afzonderlijke compliancecontroles.
Wat hetzelfde bleef:
- Zes rechtsgronden voor verwerking
- Rechten van betrokkenen: inzage, wissing, rectificatie, overdraagbaarheid
- 72-uur inbreukmelding aan de toezichthouder
- Privacy by design en by default
Wat veranderde:
- Het VK voert zijn eigen adequaatheidsbesluiten uit voor grensoverschrijdende overdrachten
- VK AI-leidraad gepubliceerd in 2023–2024 gaat verder dan de EDPB
- VK-onderzoeksuitzonderingen zijn iets breder dan EU-uitzonderingen
- De toezichthouder verschuift van advies-eerst naar boetes — sneller dan voorheen
De kloof tussen VK- en EU-regels is reëel. Behandel ze als twee afzonderlijke checklists.
De LastPass-Boete: Versleuteling Is Nu Een Juridische Test
In december 2025 beboette de ICO LastPass VK met £1,2 miljoen voor een gebrekkige versleutelingsinstelling. Dit is de belangrijkste VK-AVG-uitspraak over technische beveiliging tot nu toe.
Wat de toezichthouder vond: LastPass sloeg kluisrecords op met server-gehouden sleutels. Wie de server bereikte kon de kluis lezen. De uitspraak stelde dat dit de "passende technische maatregelen"-test in VK-AVG-artikel 32 schendt.
De sleutelfrase uit de kennisgeving: "De verwerkingsverantwoordelijke had client-side versleuteling moeten gebruiken. Dit had gebruikerskluisrecords veilig gehouden zelfs als de server was geschonden."
Wat dit stelt: Als een veiligere ontwerp bestaat en bouwbaar is, kan het gebruik van de zwakkere nu artikel 32 schenden. Server-side sleutelbeheer is niet langer een veilige standaard voor gevoelige records.
Wie risico loopt: Elke dienst die gevoelige records opslaat en versleutelingssleutels op zijn eigen servers bewaart. Dit omvat tools die tekst loggen voor auditsporen, gebruiksstatistieken of documentgeschiedenis. Als de server de tekst kan lezen, kunnen toezichthouders vragen waarom u geen client-side ontwerp heeft gebruikt. Zie hoe anonym.legal dit aanpakt met zero-knowledge architectuur.
VK AI-Leidraad: Acht Technische Regels
De VK-toezichthouder publiceerde in 2023–2024 gedetailleerde AI-leidraad. Het dekt acht specifieke vereisten voor generatieve AI-systemen. De vergelijkbare leidraad van de EU is minder gedetailleerd.
1. Herkomst trainingsdata — AI getraind op persoonsgegevens moet loggen waar die data vandaan komt en welke stappen zijn gebruikt om het te schonen.
2. Outputmonitoring — Systemen die persoonlijke output produceren moeten controles hebben om slechte openbaarmakingen te onderscheppen en te stoppen.
3. Doelbinding — Records gebruikt voor AI-training moeten overeenkomen met het opgegeven doel. Algemene training op klantrecords heeft een duidelijke rechtsgrond nodig.
4. Geautomatiseerde besluitrechten — Als uw AI sleutelkeuzes maakt over een persoon, moet het inzage, uitleg en beroep ondersteunen.
5. Biasmonitoring — Systemen die beschermde kenmerken gebruiken — direct of via inferentie — moeten biascontroles hebben.
6. Minimalisatie vóór fine-tuning — U moet persoonsgegevens reduceren vóór fine-tuning. Een beleid alleen is niet voldoende.
7. Wissing uit modelgewichten — Als records modelgewichten binnengaan, heeft u een plan nodig om wisverzoeken aan te pakken. Technische of gelijkwaardige waarborgen zijn vereist.
8. Derdenpartij AI-review — Als u de AI van een ander bedrijf gebruikt, moet u alle acht punten controleren en vastleggen.
Deze acht regels vormen een praktische checklist voor elke VK AI-implementatie.
VK-Handhaving: De Verschuiving Naar Boetes
De toezichthouder gaf vroeger de voorkeur aan leidraadsbrieven boven sancties. Dat verandert. Recente acties tonen een duidelijk patroon:
| Actie | Bedrag | Jaar | Reden |
|---|---|---|---|
| British Airways | £20M | 2020 | Inbreuk — zwakke beveiliging |
| Marriott International | £18,4M | 2020 | Inbreuk — slechte due diligence |
| LastPass VK | £1,2M | 2025 | Versleutelingsontwerp-fout |
| Electoral Commission | £4,4M berisping | 2023 | Niet-gepatchte server |
In 2024 werden 67 handhavingskennisgevingen uitgegeven — een record. De LastPass-zaak is opmerkelijk omdat de boete gold voor een ontwerpkeuze, niet alleen een inbreukuitkomst. Toezichthouders doorlichtten hoe LastPass zijn systeem heeft gebouwd. Dat is nieuw.
VK–EU Overdrachten: Tweezijdig Risico
VK-organisaties die EU-persoonsgegevens verwerken, staan voor verplichtingen van beide kanten.
Van EU naar VK: De EU verleende het VK in 2021 een adequaatheidsbesluit. Het is nog steeds geldig. Maar het staat onder juridische uitdaging. Vertrouw er niet alleen op — standaard contractuele clausules (SCC's) zijn een verstandige back-up.
Van VK naar EU: Geen huidige regel blokkeert het verplaatsen van VK-records naar EU-verwerkers. Maar een EU-verwerker die VK-records verwerkt kan aan zijn kant nog steeds EU-AVG-regels triggeren.
Praktische stap: Schrijf uw VK-AVG-positie en uw EU-AVG-positie op als twee afzonderlijke documenten. Noteer waar ze overeenkomen en waar ze verschillen. Dit is het record dat u nodig heeft als een toezichthouder vraagt. Ons complianceoverzicht brengt beide kanten in kaart.
Voor een diepere blik op zero-knowledge ontwerp en hoe het het server-inbreukrisico dat in LastPass is geïdentificeerd aanpakt, lees onze beveiligings- en privacyarchitectuurpagina.
Bronnen
- ICO: VK-AVG Leidraad en Resources — GEVERIFIEERD-EXTERN
- ICO: LastPass Handhavingskennisgeving, december 2025 — GEVERIFIEERD-EXTERN
- ICO: AI en Gegevensbescherming Leidraad — GEVERIFIEERD-EXTERN
- ICO: 2024 Handhaving Jaarrapport — GEVERIFIEERD-EXTERN