Wat er op 19 juni veranderde
De Data (Use and Access) Act 2025 kreeg op 19 juni 2025 koninklijke instemming en wordt in fasen aangezet. De invoeringsregeling, SI 2026 nr. 82, bepaalt twee datums die tellen voor ondernemers: 5 februari 2026 voor het merendeel van de gegevensbeschermingswijzigingen en 19 juni 2026 voor het klachtenregime van sectie 103 en bijlage 10.
Sinds die tweede datum moet elke organisatie onder de UK GDPR een formele procedure voor gegevensbeschermingsklachten voeren. De nieuwe sectie 164A van de Data Protection Act 2018 vereist toegankelijke klachtwegen, waaronder een elektronisch formulier naast routes als e-mail en post, een ontvangstbevestiging binnen 30 dagen en een inhoudelijke uitkomst in taal die de klager begrijpt, met verwijzing naar het recht om te escaleren naar de Britse toezichthouder ICO.
Voor de uitkomst zelf bestaat geen wettelijke termijn, maar de conceptrichtlijn van de ICO adviseert afronding binnen drie maanden behoudens uitzonderlijke omstandigheden, en verwacht een zichtbaar proces: makkelijk te vinden, gelinkt vanuit privacyverklaring en website. De februarifase bracht ook erkende gerechtvaardigde belangen als grondslag, een stop-de-klok-mechanisme bij inzageverzoeken en soepelere regels voor sommige cookies met laag risico.
Het stille deel: marketingboetes werden 35 keer groter
De verandering die minder ondernemers opmerkten kwam eerder. Sinds 5 februari 2026 sprongen de boetebevoegdheden van de ICO onder PECR, de regels voor elektronische direct marketing en cookies, van een plafond van 500.000 pond naar UK-GDPR-niveau: tot 17,5 miljoen pond of 4 procent van de wereldwijde jaaromzet, welke hoger is.
Jarenlang was PECR-handhaving een begrensde ergernis: een mailcampagne met wankele toestemming was hooguit een zescijferig probleem. Die asymmetrie is weg. Een marketinglijst met slordige toestemmingen speelt nu in dezelfde boeteklasse als een datalek, en het nieuwe klachtenkanaal geeft elke geërgerde ontvanger een formele route die, slecht behandeld, eindigt bij de deur van de toezichthouder.
Wat VK-blootgestelde bedrijven nu moeten doen
De reikwijdte is breder dan velen aannemen. De UK GDPR geldt niet alleen voor bedrijven gevestigd in het Verenigd Koninkrijk, maar ook voor bedrijven daarbuiten die goederen of diensten aanbieden aan mensen daar. De Nederlandse webshop die naar Londen verzendt, de machinebouwer met Britse klanten, de SaaS-aanbieder met gebruikers in Manchester: de klachtplicht raakt ze allemaal.
De bouw is niet zwaar, en juist daarom staat het ontbreken ervan slecht. Publiceer een klachtroute, inclusief elektronisch formulier. Sluit die aan op de processen die u al draait voor AVG-verzoeken, met een eigenaar, een logboek en standaardbevestigingen die de 30-dagenklok ruim verslaan. Volg uitkomsten tegen de driemaandsverwachting en leg de redenering van elke afsluiting vast.
Behandel het logboek vervolgens als wat het is: bewijs. Elke klacht, tijdstempel en reactie is een record dat de ICO kan opvragen, en een patroon van genegeerde klachten is de makkelijkste handhavingszaak die een toezichthouder ooit zal bouwen. Datzelfde logboek, elk kwartaal gelezen, is bovendien een gratis audit van waar uw dataverwerking klanten werkelijk irriteert. Weinig complianceverplichtingen leveren zo veel op.
Lees hierna: Een eerste inzageverzoek kan al misbruik zijn · Onrechtmatig verkregen data wint toch bij de rechter



