Websiteregels in het Verenigd Koninkrijk
Britse websites vallen onder de UK GDPR en PECR. De ICO handhaaft privacyregels met boetes tot £17,5 miljoen. Registratie bij Companies House moet worden getoond.
Toezichthouder gegevensbescherming:
Information Commissioner's Office
(ICO)
Vereisten
4
landspecifieke regels
Handleidingen
0
handleidingen beschikbaar
Specifieke vereisten voor Verenigd Koninkrijk
Companies House-nummer
Britse limited companies moeten hun registratienummer, geregistreerd adres en plaats van registratie op hun website tonen.
UK GDPR
Het VK heeft na Brexit de GDPR behouden als UK GDPR. De eisen zijn grotendeels gelijk aan de EU-AVG, maar de toezichthouder is de ICO in plaats van een EU-autoriteit.
PECR (cookies en e-mail)
De Privacy and Electronic Communications Regulations regelen cookies en elektronische marketing. Boetes kunnen oplopen tot £500.000 (los van UK GDPR-boetes).
Toegankelijkheid
Websites van de publieke sector moeten voldoen aan WCAG 2.1 AA. De EAA geldt na Brexit niet in het VK, maar de Equality Act 2010 vereist redelijke aanpassingen voor gebruikers met een beperking.
Handhaving in Verenigd Koninkrijk
De ICO legde British Airways een boete op van £20 miljoen voor een datalek in 2018 waarbij 400.000 klanten werden getroffen. Voor kleinere organisaties heeft de ICO handhavingsbesluiten uitgevaardigd tegen bedrijven die niet binnen de termijn van 30 dagen op inzageverzoeken reageerden, met boetes vanaf £500 voor recidivisten.
Officiële bronnen
Voor Nederlandse ondernemers met Britse klanten
Sinds Brexit valt het Verenigd Koninkrijk niet langer onder de EU-AVG, maar het VK heeft de regels behouden als UK GDPR. De adequaatheidsbesluit van de Europese Commissie van 28 juni 2021 (eind 2025 verlengd) zorgt ervoor dat persoonsgegevens vrij kunnen blijven stromen tussen Nederland en het VK. Geen Standard Contractual Clauses nodig voor reguliere zakelijke relaties met Britse leveranciers of klanten.
Wanneer wordt het ingewikkeld? Wanneer u zich actief richt op Britse consumenten. Vanaf het moment dat uw website Britse bezoekers actief bedient (Engelse versie, prijzen in £, levering naar het VK) bent u onder UK GDPR Artikel 27 verplicht een UK Representative aan te wijzen. Een NL-gevestigde EU-vertegenwoordiger dekt dit niet. Specialisten als DataRep of GDPR-Rep.eu bieden dit aan voor £25-50 per maand.
De ICO is minder strafrechtelijk gericht dan de Franse CNIL of de Italiaanse Garante. De voornaamste handhavingsroute voor MKB is de openbare berisping (reprimand) na een klacht, niet de boete. Voor uw NL-website met Britse klanten betekent dat: privacyverklaring noemt zowel ICO als de Autoriteit Persoonsgegevens, cookiebanner voldoet aan PECR Reg 6, en uw imprint bevat zowel KVK-nummer als een UK Representative-vermelding.
Cookies in het VK na de Data (Use and Access) Act 2025
De Britse cookieregels staan in PECR (Privacy and Electronic Communications Regulations 2003), specifiek Regulation 6. Pers- en politieke communicatie in 2024-2025 suggereerde dat de Data (Use and Access) Act 2025 de toestemming voor analytische cookies zou afschaffen. Dat is niet wat er in de wet staat. De Act paste regels rondom legitieme belangen en wetenschappelijk onderzoek aan, maar PECR Reg 6 is ongewijzigd.
De ICO schreef in november 2023 brieven aan de top 100 Britse websites met de boodschap dat hun cookiebanners niet voldeden aan PECR. In januari 2024 publiceerde de ICO een vervolg waarin werd gemeld welke websites alsnog hadden voldaan en welke niet. Voor een NL-bedrijf met een .uk-domein of een Engelstalige variant van uw site geldt dezelfde standaard: weigeren moet net zo eenvoudig zijn als accepteren, geen voorgevinkte vakjes, geen analyse-script vóór toestemming.
Check je website op Verenigd Koninkrijk-vereisten
Onze scanner controleert automatisch op Verenigd Koninkrijk-specifieke vereisten.