Brussel, 20 oktober – Tijdens zijn meest recente plenaire vergadering heeft het EDPB twee adviezen aangenomen over de ontwerpbesluiten van de Europese Commissie over de verlenging van de geldigheid van de adequaatheidsbesluiten van het VK uit hoofde van de algemene verordening gegevensbescherming (AVG) en de richtlijn rechtshandhaving (LED) tot december 2031.*
In de adviezen van het EDPB, waarom de Commissie overeenkomstig artikel 70, lid 1, punt s), AVG en artikel 51, lid 1, punt g), van de richtlijn rechtshandhaving heeft verzocht, wordt ingegaan op de voorgestelde verlenging met zes jaar van de twee adequaatheidsbesluiten van het VK die in december 2025 aflopen.
De verlenging van de geldigheid van de adequaatheidsbesluiten van het VK zal in Europa gevestigde organisaties en bevoegde autoriteiten in staat stellen gegevens te blijven doorgeven aan in het VK gevestigde organisaties en autoriteiten zonder aanvullende garanties in te voeren**.
“HetEDPB is ingenomen met de voortdurende afstemming tussen het VK en het Europese kader voor gegevensbescherming, ondanks de recente wijzigingen in het rechtskader van het VK.
Ik roep de Europese Commissie op om aandacht te besteden aan de punten die door het Comité naar voren zijn gebracht en om te zorgen voor een doeltreffend toezicht zodra de besluiten zijn vastgesteld. Dit zal de robuustheid van de adequaatheid van het VK vergroten en zorgen voor meer rechtszekerheid voor organisaties en bevoegde autoriteiten die persoonsgegevens van Europa naar het VK doorgeven.”
EDPB-voorzitter, Anu Talus
Over het GDPR-advies
Volgens de EDPB zijn de meeste wijzigingen in het gegevensbeschermingskader van het VK bedoeld om de naleving van de wet te verduidelijken en te vergemakkelijken.
Sommige aspecten van het ontwerpbesluit kunnen verder worden verduidelijkt.
De EDPB verzoekt de Europese Commissie de wijzigingen van de Retained EU Law (Revocation and Reform) Act 2023, ook bekend als de REUL Act, verder te analyseren en te monitoren, met name de schrapping van het beginsel van voorrang van het EU-recht en de schrapping van de rechtstreekse toepassing van de beginselen van het EU-recht.
De EDPB merkt op dat de staatssecretaris nieuwe bevoegdheden heeft gekregen om wijzigingen aan te brengen in het nieuwe kader voor gegevensbescherming, via secundaire verordeningen die minder parlementaire controle vereisen. Dit is het geval voor internationale doorgiften, geautomatiseerde besluitvorming en de governance van het bureau van de Information Commissioner (ICO). Het EDPB verzoekt de Commissie mogelijke risico’s van divergentie aan te pakken door in het definitieve adequaatheidsbesluit de aandacht te vestigen op de gebieden die zij zorgvuldig willen monitoren.
Het EDPB moedigt de Commissie ook aan haar beoordeling verder uit te werken en toezicht te houden op de regels inzake overdrachten van het VK naar derde landen. De nieuwe adequaatheidstest, die is ingevoerd bij de Data (Use and Access) Act 2025, vereist dat het beschermingsniveau van het derde land niet wezenlijk lager is dan het niveau dat in het kader van het VK voor betrokkenen wordt geboden, maar deze test heeft geen betrekking op het risico van toegang van de overheid, het bestaan van verhaalsmogelijkheden voor personen en de noodzaak van een onafhankelijke toezichthoudende autoriteit.
De Commissie moet ook het vermeende gebruik door de Britse regering van mededelingen inzake technische capaciteiten (“TCN”) die bedrijven verplichten encryptie te omzeilen, verder beoordelen en monitoren, aangezien dit systemische kwetsbaarheden zou creëren en een risico zou vormen voor de integriteit en vertrouwelijkheid van elektronische communicatie.
Tot slot verzoekt het EDPB de Commissie de wijzigingen in de structuur van de ICO en de uitoefening van haar corrigerende bevoegdheden verder te beoordelen en te monitoren. In dit verband neemt het EDPB met tevredenheid kennis van het transparantiebeleid van de ICO en de beschikbaarheid van de statistische en analytische gegevens van zijn handhavingsactiviteiten.
De nieuwe adequaatheidsbesluiten zullen een aanvulling vormen op de besluiten van 2021, die van toepassing zullen blijven op gebieden die niet onder de ontwerpbesluiten van 2025 vallen. Het EDPB bouwt voort op zijn adviezen van 2021 (14/2021 en 15/2021). Met name de nauwe afstemming tussen het AVG-kader en het Britse rechtskader inzake belangrijke bepalingen, die in 2021 werd benadrukt, blijft tot op de dag van vandaag gelden (met inbegrip van bijvoorbeeld transparantie, rechten van betrokkenen en bijzondere categorieën gegevens).
Over de LED-opinie
Het EDPB is ingenomen met de voortdurende afstemming tussen het gegevensbeschermingskader in Europa en het VK en moedigt de Commissie aan haar beoordeling van aspecten in verband met vrijstellingen van de nationale veiligheid aan te vullen. Dergelijke vrijstellingen kunnen afzien van de meeste gegevensbeschermingsbeginselen en sommige internationale doorgifteregels voor rechtshandhavingsinstanties,en kunnen ook de handhavings- en inspectiebevoegdheden van de ICO beperken.
Het EDPB verzoekt de Commissie de regels van het VK inzake de doorgifte van persoonsgegevens aan derde landen, met name de nieuwe adequaatheidstoets, op dezelfde wijze te analyseren als in het AVG-advies.
Het bestuur wijst ook op de meer tolerante aanpak voor geautomatiseerde besluitvorming en de nieuwe bevoegdheden die aan de staatssecretaris ter zake zijn verleend. Hij herinnert aan het belang van een zinvolle menselijke evaluatie en dringt er bij de Commissie op aan mogelijke uitzonderingen op het recht van personen op menselijke tussenkomst te verduidelijken en te monitoren.
Tot slot erkent het EDPB dat het systeem van toezicht op strafrechtelijke handhavingsinstanties en de verhaalmechanismen grotendeels ongewijzigd blijven, en herhaalt het dat de Commissie nauwlettend moet toezien op de toepassing van corrigerende bevoegdheden en rechtsmiddelen voor personen in het Britse kader voor gegevensbescherming.
Noot voor de redactie:
* Op 22 juli 2025 heeft de Europese Commissie twee ontwerpuitvoeringsbesluiten tot wijziging van de uitvoeringsbesluiten betreffende de passende bescherming van persoonsgegevens door het Verenigd Koninkrijk overeenkomstig artikel 45, lid 3, AVG en artikel 36, lid 3, van de richtlijn gegevensbescherming bij rechtshandhaving uitgevaardigd. Deze ontwerpbesluiten hebben tot doel de geldigheid van de eerdere adequaatheidsbesluiten van 28 juni 2021 te verlengen.
In mei 2025 heeft de Commissie een besluit vastgesteld om de geldigheid van het adequaatheidsbesluit van het VK met nog eens zes maanden te verlengen, van juni tot december 2025. Het EDPB heeft in mei 2025 een advies over deze verlenging uitgebracht.
** Een adequaatheidsbesluit is een belangrijk mechanisme in de EU-wetgeving inzake gegevensbescherming waarmee de Europese Commissie kan bepalen of een derde land of een internationale organisatie een passend niveau van gegevensbescherming biedt. De Europese Commissie heeft de bevoegdheid om op basis van artikel 45 van Verordening (EU) 2016/679 te bepalen of een land buiten de EU een passend niveau van gegevensbescherming biedt.
De vaststelling van een adequaatheidsbesluit omvat: 1) een voorstel van de Europese Commissie; 2) een advies van het Europees Comité voor gegevensbescherming; 3) een goedkeuring van vertegenwoordigers van EU-landen; 4) de vaststelling van het besluit door de Europese Commissie.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.