Het privacylandschap van het VK na Brexit

Toen het Verenigd Koninkrijk de Europese Unie verliet, liet het gegevensbescherming niet achter. Het VK heeft de EU GDPR opgenomen in het nationale recht als de UK GDPR, naast de Data Protection Act 2018. Specifiek voor cookies blijft de Privacy and Electronic Communications Regulations (PECR) — de Britse implementatie van de ePrivacy-richtlijn — van toepassing. Het resultaat is een privacykader dat nauw aansluit bij dat van de EU, maar onafhankelijk wordt gehandhaafd door het Britse Information Commissioner's Office (ICO).

Voor websitebeheerders betekent dit dat het bedienen van Britse bezoekers aandacht vereist voor een afzonderlijke set regels, richtlijnen en handhavingspatronen. Hoewel de inhoud vergelijkbaar is met de EU GDPR, zijn de nuances belangrijk.

UK GDPR vs EU GDPR: Belangrijke verschillen

De UK GDPR is in wezen identiek aan de EU GDPR wat betreft kernprincipes en vereisten. Er zijn echter verschillende verschillen ontstaan sinds Brexit:

• Toezichthoudende autoriteit: De ICO is de enige toezichthoudende autoriteit voor de UK GDPR en vervangt de rol van EU-gegevensbeschermingsautoriteiten. U kunt niet worden beboet door zowel de ICO als een EU DPA voor dezelfde gegevensverwerkingsactiviteit die alleen Britse ingezetenen betreft.
• Gegevensadequaatheid: De EU heeft het VK in juni 2021 een adequaatheidsbesluit verleend, waardoor persoonsgegevens vrij kunnen stromen van de EU naar het VK. Dit besluit wordt periodiek herzien. Het VK heeft de EER wederzijds als adequaat erkend.
• Internationale overdrachten: Het VK heeft zijn eigen kader voor internationale gegevensoverdrachten, waarbij de Secretary of State (in plaats van de Europese Commissie) adequaatheidsbesluiten neemt. Het VK heeft een flexibelere benadering van internationale overdrachten gesignaleerd, hoewel de kernwaarborgen blijven bestaan.
• Handhavingsaanpak: De ICO heeft historisch de voorkeur gegeven aan betrokkenheid en begeleiding boven agressieve boetes. Maximale boetes onder de UK GDPR komen overeen met die van de EU: tot GBP 17,5 miljoen of 4 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
• Mogelijke divergentie: De Britse regering heeft hervormingen overwogen via de Data Protection and Digital Information Bill, die wijzigingen zou kunnen introduceren in beoordelingen van gerechtvaardigd belang, onderzoeksvrijstellingen en de rol van functionarissen voor gegevensbescherming. Websitebeheerders moeten deze wetgeving volgen voor toekomstige wijzigingen.

PECR: De Britse cookiewet

Terwijl de UK GDPR het algemene kader biedt voor de verwerking van persoonsgegevens, regelt PECR specifiek cookies en vergelijkbare technologieën. PECR dateert van vóór de GDPR en implementeert de EU ePrivacy-richtlijn in het Britse recht. De belangrijkste vereisten voor cookies zijn:

• Toestemming is vereist voordat niet-essentiële cookies op het apparaat van een gebruiker worden geplaatst. Dit omvat analytische cookies, advertentiecookies en sociale-mediacookies.
• Er moet informatie worden verstrekt over welke cookies worden geplaatst en waarvoor ze worden gebruikt, in duidelijke en begrijpelijke taal.
• Toestemming moet vrij, specifiek en geïnformeerd zijn. Vooraf aangevinkte vakjes vormen geen geldige toestemming.
• Strikt noodzakelijke cookies zijn vrijgesteld. Cookies die essentieel zijn voor een dienst die uitdrukkelijk door de gebruiker is aangevraagd (zoals sessiecookies voor ingelogde functionaliteit of winkelwagencookies) vereisen geen toestemming.

De toestemmingsnorm van PECR sluit aan bij de GDPR-definitie van toestemming, wat betekent dat de vereisten in de praktijk zeer vergelijkbaar zijn met die onder de EU ePrivacy-richtlijn. Een cookiebanner die voldoet aan de EU-regels zal over het algemeen ook voldoen aan PECR.

ICO-richtlijnen voor cookiebanners

De ICO heeft gedetailleerde richtlijnen over cookienaleving gepubliceerd die verder gaan dan de tekst van PECR zelf. Belangrijke punten uit de ICO-richtlijnen zijn:

Toestemming moet bevestigend zijn

Simpelweg doorgaan met het browsen op een website vormt geen toestemming. De ICO stelt uitdrukkelijk dat stilzwijgende toestemming niet geldig is. Gebruikers moeten een duidelijke, positieve actie ondernemen (zoals klikken op een "Accepteren"-knop) voordat niet-essentiële cookies mogen worden geplaatst.

Weigeren moet even gemakkelijk zijn

De ICO is steeds uitgesproken over dark patterns in cookiebanners. Specifiek:

• Een optie "Alles weigeren" of een gelijkwaardige optie moet beschikbaar zijn op hetzelfde niveau als "Alles accepteren". Het verbergen van de weigeroptie achter een scherm "Voorkeuren beheren" is niet acceptabel.
• Het visuele ontwerp mag geen kleur, grootte of positionering gebruiken om gebruikers te manipuleren richting acceptatie.
• De taal moet neutraal zijn en niet bedoeld om gebruikers te beschamen of onder druk te zetten om toestemming te geven.

Gedetailleerde categoriecontrole

Gebruikers moeten kunnen instemmen met specifieke categorieën cookies (analytisch, marketing, functioneel) in plaats van gedwongen te worden tot een alles-of-niets-keuze. Hoewel de ICO geen specifiek aantal categorieën voorschrijft, getuigt het bieden van gedetailleerde controle van goede praktijk en kan het vereist zijn onder het doelbindingsprincipe van de GDPR.

Cookiewalls zijn problematisch

De ICO beschouwt cookiewalls — waarbij toegang tot een website wordt geweigerd tenzij de gebruiker alle cookies accepteert — als onwaarschijnlijk geldige toestemming omdat toestemming niet vrij zou zijn gegeven. Uitzonderingen kunnen bestaan voor betaalde inhoud waarbij een echt cookievrij alternatief wordt aangeboden.

Recente ICO-handhavingsacties

De ICO heeft de afgelopen jaren zijn focus op cookienaleving gestaag vergroot. Opvallende acties zijn onder meer:

• Sectorwijde audits: De ICO heeft audits uitgevoerd bij de top 100 Britse websites in meerdere sectoren, met publicatie van bevindingen die wijdverspreide niet-naleving aan het licht brachten. Veelvoorkomende problemen waren het plaatsen van cookies vóór toestemming, het ontbreken van een weigeroptie en ontoereikende informatie over cookiedoeleinden.
• Waarschuwingsbrieven: Na audits stuurde de ICO waarschuwingsbrieven naar organisaties waarvan de cookiepraktijken tekortschoten. De meeste organisaties brachten hun praktijken in overeenstemming na ontvangst van deze brieven.
• Adtech-onderzoeken: De ICO heeft lopende onderzoeken uitgevoerd naar het real-time bidding-ecosysteem, met zorgen over de hoeveelheid persoonsgegevens die via programmatic advertising-cookies worden gedeeld zonder adequate toestemming.
• Handhaving bij de publieke sector: De ICO heeft overheidswebsites niet vrijgesteld en heeft richtlijnen en waarschuwingen uitgevaardigd aan publieke organisaties over hun cookiepraktijken.

Hoewel de ICO nog geen significante financiële boetes heeft opgelegd specifiek voor cookieschendingen, is de trend duidelijk richting strengere handhaving. De toezichthouder heeft verklaard dat hij verwacht dat organisaties nu compliant zijn en dat handhavingsmaatregelen zullen volgen voor wie niet verbetert.

Internationale gegevensoverdrachten: VK naar EU en verder

Cookietoestemming raakt aan internationale gegevensoverdrachten op een belangrijke manier. Wanneer analytische of advertentiecookies gegevens verzenden naar servers buiten het VK — zoals Google Analytics gegevens verzendt naar servers van Google, en Facebook Pixel gegevens verzendt naar servers van Meta — vormen deze internationale gegevensoverdrachten onder de UK GDPR.

Huidige regelingen:

• VK naar EER: Gegevens stromen vrij onder de erkenning van EER-adequaatheid door het VK.
• VK naar VS: De UK Extension to the EU-US Data Privacy Framework biedt een mechanisme voor overdrachten naar gecertificeerde Amerikaanse organisaties. Google en Meta zijn gecertificeerd onder dit kader.
• VK naar andere landen: Passende waarborgen zoals Standard Contractual Clauses (Britse versie) of binding corporate rules zijn vereist.

In de praktijk zijn, als u Google Analytics, Google Ads of andere grote advertentieplatformen gebruikt, de mechanismen voor internationale overdracht aanwezig. U moet deze overdrachten echter documenteren in uw privacybeleid en ervoor zorgen dat uw cookiebanner vermeldt dat gegevens internationaal kunnen worden overgedragen.

FlexyConsent geo-targeting voor VK-specifieke naleving

FlexyConsent biedt speciale geo-targeting voor Britse bezoekers, waardoor naleving van het specifieke regelgevingskader van het VK wordt gewaarborgd:

• PECR-conforme banner: Britse bezoekers zien een toestemmingsbanner die voldoet aan de ICO-vereisten, inclusief een even prominente weigeroptie en gedetailleerde categoriecontroles. Er worden geen cookies geplaatst totdat bevestigende toestemming is ontvangen.
• Los van EU-configuratie: Hoewel de vereisten vergelijkbaar zijn, behoudt FlexyConsent de mogelijkheid om VK- en EU-toestemmingservaringen onafhankelijk te configureren. Dit maakt uw implementatie toekomstbestendig tegen mogelijke VK-EU-regelgevingsdivergentie.
• ICO-conform ontwerp: De standaard bannersjablonen van FlexyConsent volgen de ICO-richtlijnen over het vermijden van dark patterns. Accepteer- en weigeropties zijn visueel gelijk, de taal is neutraal en het ontwerp manipuleert gebruikerskeuzes niet.
• Consent Mode V2-integratie: Als Google-gecertificeerd CMP stuurt FlexyConsent correcte toestemmingssignalen naar Google-diensten voor Britse bezoekers. Dit zorgt ervoor dat conversiemodellering en Smart Bidding correct blijven functioneren met respect voor de Britse toestemmingsvereisten.
• IAB TCF 2.3-ondersteuning: Voor uitgevers die programmatic advertising gebruiken, genereert FlexyConsent VK-geschikte TCF-toestemmingsstrings die worden herkend door demand-side platforms en supply-side platforms die actief zijn op de Britse markt.

FlexyConsent is beschikbaar met abonnementen vanaf EUR 0 per maand, met native integraties voor WordPress, Shopify en PrestaShop. Vooral voor Britse bedrijven toont het implementeren van een gecertificeerd CMP proactieve naleving aan de ICO — een factor waarvan de toezichthouder heeft aangegeven dat deze wordt meegewogen bij het beslissen over handhavingsmaatregelen.

Belangrijkste conclusie: Het privacykader van het VK na Brexit weerspiegelt nauw dat van de EU, maar opereert onder zijn eigen toezichthouder, zijn eigen handhavingspatronen en mogelijk zijn eigen toekomstige wetgevingsrichting. Britse bezoekers behandelen als onderworpen aan dezelfde regels als EU-bezoekers is voorlopig veilig, maar het behouden van de mogelijkheid om VK-specifieke toestemmingservaringen te configureren positioneert uw site om zich aan te passen naarmate de twee kaders mogelijk uit elkaar groeien. Een geo-bewust CMP is de meest praktische manier om deze complexiteit te beheren.