Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Analyse

De Britse statutaire code voor AI en geautomatiseerde besluitvorming: het principemodel krijgt een harde rand

Vastgesteld 2026-06-16 · bijgewerkt 2026-06-23 · ≈ 4 min lezen · Dirk Baaijen

Het VK heeft geen horizontale AI-wet, maar een bindende verplichting komt via het gegevensbeschermingsrecht: regelgeving van kracht 12 mei 2026 verplicht de ICO tot een statutaire code voor AI en geautomatiseerde besluitvorming. De Data (Use and Access) Act 2025 herschrijft de ADM-regels.

Het Verenigd Koninkrijk heeft zijn reputatie gebouwd op het reguleren van kunstmatige intelligentie zonder horizontale AI-wet — vijf niet-bindende principes die de sectortoezichthouders toepassen, met een frontier-wet nog in voorbereiding. Die beschrijving klopt nog steeds, maar in 2026 werd ze onvolledig. Een werkelijk bindende AI-verplichting is in het Britse recht aangekomen, en ze kwam niet uit een nieuwe AI Act maar uit het gegevensbeschermingsregime. Het instrument is technisch en gemakkelijk over het hoofd te zien; zijn bereik is dat niet.

Een statutaire code, bij verordening

Op 16 april 2026 stelde de regering de Data Protection Act 2018 (Code of Practice on Artificial Intelligence and Automated Decision-Making) Regulations 2026 vast. Ze werden op 21 april aan het parlement voorgelegd en traden op 12 mei 2026 in werking. Hun werking is kort en dwingend: de Information Commissioner moet een gedragscode opstellen met richtsnoeren voor goede praktijk bij de verwerking van persoonsgegevens in verband met (a) het ontwikkelen en gebruiken van kunstmatige intelligentie en (b) geautomatiseerde besluitvorming. De code moet ook de verwerking van persoonsgegevens van kinderen behandelen.

Dit is geen richtsnoer dat de toezichthouder vrijwillig schrijft; het is een richtsnoer dat het parlement haar opdraagt te schrijven. De bevoegdheid staat in de nieuwe artikelen 124A en 124B van de Data Protection Act 2018, ingevoegd door de artikelen 92 en 93 van de Data (Use and Access) Act 2025. Eenmaal uitgebracht en goedgekeurd is een statutaire ICO-code niet zelf de wet, maar rechters en de Commissioner moeten haar in aanmerking nemen — wat haar tot het dichtstbijzijnde maakt dat het VK heeft van een bindend, sectoroverstijgend AI-regelboek.

De hervorming eronder: artikel 22 herschreven

De code staat niet op zichzelf. Artikel 80 van de Data (Use and Access) Act 2025 vervangt artikel 22 van de UK GDPR — de aloude beperking op besluiten die uitsluitend op geautomatiseerde wijze worden genomen — door een nieuwe reeks artikelen 22A tot en met 22D. De verschuiving is bewust en ingrijpend. Onder het oude artikel 22 was een ingrijpend louter-geautomatiseerd besluit in beginsel verboden, behoudens enkele nauwe uitzonderingen. Onder het nieuwe regime is zo'n besluit toegestaan, mits er waarborgen zijn.

Een strengere regel blijft behouden waar het er het meest toe doet. Wanneer een ingrijpend besluit berust op bijzondere categorieën gegevens — gezondheid, biometrie, overtuigingen en dergelijke — blijft louter geautomatiseerde verwerking verboden, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven, of het noodzakelijk is voor een overeenkomst of wettelijk gemachtigd is op een grondslag van zwaarwegend algemeen belang. Besluiten die steunen op de nieuwe grond "erkende gerechtvaardigde belangen" mogen in het geheel niet volledig geautomatiseerd zijn.

Vier waarborgen bij elk geautomatiseerd besluit

Voor de besluiten die het nieuwe regime toestaat, moeten verwerkingsverantwoordelijken vier dingen garanderen. De betrokkene moet worden geïnformeerd dat een ingrijpend besluit over hem op geautomatiseerde wijze wordt genomen; moet daarover zienswijzen kunnen indienen; moet menselijke tussenkomst van de verantwoordelijke kunnen verkrijgen; en moet het besluit kunnen aanvechten. Dit is de inhoud die de aanstaande ICO-code zal operationaliseren, en de Secretary of State kan er bij verordening aan toevoegen. Op 31 maart 2026 opende de ICO een consultatie over conceptrichtsnoeren voor geautomatiseerde besluitvorming en profilering — haar eerste uitgewerkte lezing van deze wijzigingen — die liep tot 29 mei 2026, met definitieve richtsnoeren verwacht in de zomer van 2026. Daarnaast publiceerde de ICO een rapport over ADM in werving, gebaseerd op gesprekken met meer dan 30 werkgevers, dat de tekorten benoemt die zij van bedrijven verwacht te dichten: organisaties die op geautomatiseerde instrumenten leunen zonder effectief menselijk toezicht, kandidaten die geen manier krijgen een besluit aan te vechten, en een gebrek aan transparantie over hoe hun gegevens de uitkomst bepalen. Voor de vele organisaties die AI gebruiken om sollicitanten te screenen en te rangschikken is dat rapport het helderste signaal tot nu toe over hoe Londen de nieuwe regels leest — en het bijt op AI in werving overal waar de betrokkenen Brits zijn.

Naast de AI Act gelegd

Het contrast met de Europese Unie is leerzaam, en het snijdt twee kanten op. Op geautomatiseerde besluiten heeft het VK de tegenovergestelde richting gekozen ten opzichte van Brussel: waar de AVG-artikel 22 een standaardverbod behoudt, is het VK overgestapt op een model van toestemming-plus-waarborgen. Maar specifiek op AI heeft het VK voor het eerst een instrument met harde rand geschapen — een statutaire code die elke sector raakt waar persoonsgegevens in het spel zijn, terwijl de AI Act werkt via productrecht en conformiteitsbeoordeling. De twee regimes bijten nu op verschillende punten: Brussel bij het product en het model, Londen bij het besluit en de gegevens erachter.

Voor een internationale organisatie is de praktische lezing eenvoudig. De UK GDPR volgt de gegevens, niet de grens, dus een verantwoordelijke die Britse betrokkenen bedient valt eronder, waar hij ook zit. Wie concludeerde dat "geen Britse AI Act" betekende "geen bindende Britse AI-regel", heeft nu een datum om te noteren — 12 mei 2026 — en een code om in de gaten te houden. Zoals ons overzicht van de Britse aanpak opmerkt, is het Britse model in beweging; dit is het eerste stuk ervan dat al wet is.

Bronnen

  1. https://www.legislation.gov.uk/uksi/2026/425/made
    Regulations van kracht 12 mei 2026 die de ICO verplichten tot een statutaire code voor AI en geautomatiseerde besluitvorming, incl. gegevens van kinderen.
  2. https://www.legislation.gov.uk/ukpga/2025/18/section/80/enacted
    Data (Use and Access) Act 2025, art. 80: vervangt UK GDPR-artikel 22 door art. 22A–22D; louter-geautomatiseerde besluiten toegestaan onder waarborgen.
  3. https://www.legislation.gov.uk/ukpga/2025/18/contents
    Data (Use and Access) Act 2025 (c.18); artikelen 92–93 voegen artikelen 124A/124B toe aan de DPA 2018, de grondslag voor de AI/ADM-code.
  4. https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/2026/03/ico-consultation-on-the-draft-guidance-about-automated-decision-making-including-profiling/
    ICO-consultatie over conceptrichtsnoeren ADM/profilering (geopend 31 maart 2026, gesloten 29 mei 2026), met begeleidend rapport over ADM in werving.

Deel op LinkedIn

Lees ook

A

De Britse AI-aanpak in 2026: principes zonder wet, met een wet in aantocht

Het VK reguleert AI zonder horizontale wet — vijf principes toegepast door sectortoezichthouders. In 2026 verschuift dat: een statutaire AI-code komt via het gegevensbeschermingsrecht, en de gekozen AI-wet is een pro-innovatieve groei-en-sandbox-wet, geen frontier-statuut.

A

De Britse AI Growth Lab: een sandbox die werd gelanceerd voordat hij één regel mag versoepelen

Op 8 juni 2026 lanceerde het VK zijn AI Growth Lab — een economiebrede sandbox, te beginnen bij juridische diensten. Maar de versie die live ging is "adviserend": hij coördineert toezichthouders en geeft begeleiding, en kan geen regel versoepelen tot het Parlement de grondslag aanneemt.

U

Mag een algoritme een sollicitant afwijzen? Geautomatiseerde besluiten in werving

Een sollicitant volledig automatisch afwijzen mag in beginsel niet: AVG art. 22 verbiedt besluiten die uitsluitend op geautomatiseerde verwerking berusten en iemand aanmerkelijk treffen, tenzij met waarborgen. De AI Act eist daarbovenop menselijk toezicht en transparantie bij hoog-risico-werving.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.