De Britse regering komt met de DRB, een eigen GDPR

De Britse regering wil zo min mogelijk herinnerd worden aan de EU en zal daarom met een eigen versie van de GDPR komen. Het aanpassen van een wet, zodat die beter aansluit op de nationale behoefte. Dat klinkt redelijk onschuldig, is het echter niet. Dit wordt opletten voor iedereen die zaken doet met een Britse entiteit.

DRB

De nieuwe wet krijgt als naam Data Protection and Digital Information Bill. Terwijl die nog in de steigers staat is er al een kortere naam voor verzonnen inclusief een afkorting Data Reform Bill (DRB). Die afkorting zal later dit jaar vaker voorkomen in zowel de pers als de communicatie tussen partijen. De impact van de DRB is namelijk behoorlijk groot en dat is ook precies wat Londen wil.

Los van het feit dat de GDPR als iets “Brussels” wordt gezien, vindt de regering dat de regelgeving het bedrijfsleven te veel aan banden legt. De hoge boetes zijn een doorn in het oog van het bedrijfsleven en de problemen data te verrijken en te verkopen dwarsboomt schijnbaar businessplannen.

Twee wetten

De lezer hoeft geen juridische kennis nodig te hebben om te zien wat er gaat gebeuren. Wie zaken doet met een Britse onderneming heeft krijgt te maken met twee wetten: de DRB en de AVG (GDPR). De data die betrekking heeft op EU ingezetenen moet conform de AVG worden beschermd en behandeld. Met de data van Britse burgers hoeft minder strikt te worden omgegaan, want de DRB stelt minder eisen.

Twee databases

Dit betekent dus twee databases aanhouden en hogere kosten. Dat is niet het enige probleem dat ontstaat door de DRB. Bedrijven die zaken doen met een onderneming op de Britse eilanden moet er voor waken dat de data die ze delen in de goede database terecht komen. Het gaat daarbij om alle persoonsgegevens, dus die van personeel, klanten en toeleveranciers.

Voor de Britten is het namelijk veel aantrekkelijker alle data (dus van klanten, leveranciers of leads) te voorzien van het label “toestemming volgens DRB“. Dan mogen ze veel meer met die data doen, van spammen frequent mailen tot actief verrijken en verhandelen. Dit is vragen om problemen want die derden hebben hiervoor nooit expliciet en vooraf toestemming gegeven.

Britse juristen zien deze bui ook al hangen, maar denken dat het wel zal meevallen. Waarop ze dat baseren is niet bekend. Wat ze verder inschatten is dat voor bedrijven makkelijker zal zijn de DRB te laten schieten en gewoon te blijven handelen conform de strengere GDPR. Dat laat onverlet dat het nodig is extra op te letten bij het zaken doen met Britten. Als daar een fout wordt gemaakt is ook de Nederlandse ondernemer die de data heeft gedeeld namelijk echt de pineut.