Global Britain?

Wanneer wordt verwezen naar de General Data Protection Regulation moeten juristen in internationale context tegenwoordig nog wel eens een voorvoegsel gebruiken: 'EU GDPR' of 'UK GDPR'. Tot op heden lijken de beide 'Regulations' nog als twee druppels water op elkaar, maar het lijkt er op dat het onderscheidend vermogen in uitleg, inhoud en mogelijk ook aanduiding de komende jaren zal toenemen; Groot-Brittannië laat blijken dat het ook op het gebied van gegevensbescherming een eigen koers gaat varen.

Een duidelijker signaal dan het onlangs verschenen consultatiedocument met de titel "Data: A new direction" hadden we niet kunnen krijgen. In de publicatie van het Ministerie Digital, Culture, Media and Sport wordt volop afstand genomen van opinies van EDPB en Artikel 29 Werkgroep, geflirt met ruimere mogelijkheden rondom geautomatiseerde besluitvorming en verdwijnen FG-, register- en andere specifieke accountability verplichtingen in de prullenbak, in ruil voor een meer algemene verplichting. De EU zal dit, samen met de redactie van dit tijdschrift, ongetwijfeld met belangstelling volgen.

Ook de door de ICO gepubliceerde concept International data transfer agreement laat zien dat de Britten hun eigen kijk hebben op de manier waarop bedrijven met datadoorgifte dienen om te gaan. Hoewel de eerder dit jaar gepubliceerde Europese modelcontacten voor internationale doorgifte al een duidelijke verbetering zijn ten opzichte van de eerdere modelcontracten, biedt de ICO een in mijn ogen completer pakket aan, met een document dat gebruikt kan worden voor een risicoanalyse voor doorgiftes (de transfer risk assessment) en één internationale overeenkomst waarin de Europese en Britse modelcontracten kunnen worden opgenomen en ruimte is voor andere internationale modelcontracten voor doorgifte (zoals vergelijkbare verplichtingen in Singapore, Nieuw-Zeeland en Zwitserland). De ICO kijkt daarmee duidelijk en - het mag gezegd worden - met zelfvertrouwen de wijdere wereld in.

Deze internationale heroriëntatie wordt onderstreept met de aangekondigde benoeming van John Edwards als Information Commissioner. John Edwards is op dit moment Nieuw Zeeland's Privacy Commissioner en is door de Britse regering gevraagd om de ICO te leiden. Hoewel het niet de eerste keer is dat er een Information Commissioner van buiten de Britse eilanden wordt aangesteld, onderschrijft het de internationale focus van de Britse overheid na Brexit.

Wat moeten we hier van vinden? Als internetjuristen denk ik dat we in onze handjes mogen knijpen. Groot-Brittannië heeft bijna 50 jaar (al dan niet tegenstribbelend) meebewogen richting de interne Europese markt, en haar rechtsstaat geconformeerd aan de duizenden Europese richtlijnen en verordeningen. One of us, dus. Het is interessant om te zien hoe het land zich de komende tijd zal gaan onderscheiden op gebieden waar ze eerst in de pas liep met de EU. Het is mijn verwachting dat de Britten de vaart er in houden, en de EU op veel punten stof tot nadenken geven. Het is immers makkelijker wetgeving maken als je alleen bent.

Op moment van schrijven kan Brexit nog geenszins een succes genoemd worden, met lege schappen en benzinestations aan Britse zijde, en oplopende frustraties aan de Ierse en Franse grenzen. Dat is niet te compenseren, maar hoop ik in ieder geval dat de eerder gesignaleerde ontwikkelingen het recht aan beide kanten van het Kanaal zal inspireren en voor betere 'internetwetgeving' zal zorgen, want er zijn volop uitdagingen op dat gebied - denk aan wetgeving op het gebied van kunstmatige intelligentie en de balans tussen innovatie en bescherming van grondrechten, cyber security, digitale identiteit en toekomstbestendige privacywetgeving.