UK GDPR Na Brexit: Wat Verander Het
Die VK se Data Protection Act 2018 het UK GDPR in wet omgesit. Dit stem grootliks ooreen met EU GDPR -- maar nie op elke gebied nie. As jy in beide die VK en die EU werk, moet jy twee afsonderlike nakomingstoetse deurloop.
Wat dieselfde gebly het:
- Ses wettige gronde vir verwerking
- Onderwerperegte: toegang, uitwissing, regstelling, oordraagbaarheid
- Kennisgewing van oortreding binne 72 uur aan die reguleerder
- Privaatheid by ontwerp en by verstek
Wat verander het:
- Die VK bestuur sy eie toereikendheidsbepalinge vir grensoverschrijdende oordragte
- VK KI-leiding wat in 2023-2024 uitgereik is, gaan verder as die EDPB
- VK-navorsinguitsonderings is effens breer as EU-uitsonderings
- Die reguleerder beweeg van advies-eerste na boetes -- vinniger as tevore
Die gaping tussen VK- en EU-reels is werklik. Beskou hulle as twee afsonderlike kontrolelyste.
Die LastPass-Boete: Versleuteling Is Nou 'n Wetlike Toets
In Desember 2025 het die ICO LastPass VK met £1.2 miljoen beboet vir 'n gebrekkige versleutelingsopstelling. Dit is die belangrikste VK GDPR-uitspraak oor tegniese sekuriteit tot dusver.
Wat die reguleerder bevind het: LastPass het kluisrekords gestoor met sleutels wat aan die bedienerkant gehou word. Enigiemand wat die bediener bereik het, kon die kluis lees. Die uitspraak het bevind dat dit die "gepaste tegniese maatreels"-toets in VK GDPR Artikel 32 verbreek het.
Die sleutelsin uit die kennisgewing: "Die beheerder moes klientkant-versleuteling gebruik het. Dit sou gebruikersk luisrekords veilig gehou het selfs as die bediener geskend is."
Wat dit vaslê: As 'n veiliger ontwerp bestaan en bou'baar is, kan die gebruik van die swakker een nou Artikel 32 verbreek. Bedienerkant-sleutelbestuur is nie meer 'n veilige verstek vir sensitiewe rekords nie.
Wie gevaar loop: Enige diens wat sensitiewe rekords stoor en versleutelingssleutels op sy eie bedieners hou. Dit sluit in gereedskap wat teks aanteken vir ouditspore, gebruiksstatistieke, of dokumentgeskiedenis. As die bediener die teks kan lees, kan reguleerders vra waarom jy nie klientkant-ontwerp gebruik het nie. Sien hoe anonym.legal dit hanteer met nulkennis-argitektuur.
VK KI-Leiding: Agt Tegniese Reels
Die VK-reguleerder het in 2023-2024 gedetailleerde KI-leiding gepubliseer. Dit dek agt spesifieke vereistes vir generatiewe KI-stelsels. Die EU se vergelykbare leiding is minder gedetailleerd.
1. Opleidingsdataherkoms -- KI wat op persoonlike rekords opgelei is, moet aanteken waar daardie data vandaan gekom het en watter stappe gebruik is om dit skoon te maak.
2. Uitsvoermonitering -- Stelsels wat persoonlike uitsette produseer, moet kontroles he om slegte bekendmakings te vang en te stop.
3. Doeelbeperking -- Rekords wat vir KI-opleiding gebruik word, moet by die verklaarde doel pas. Algemene opleiding op klientrekords benodig 'n duidelike wetlike grondslag.
4. Outomatiese besluitregte -- As jou KI sleutelbesluite oor 'n persoon neem, moet dit toegang, verduideliking en appel ondersteun.
5. Vooroordelsmonitering -- Stelsels wat beskermde eienskappe gebruik -- direk of by gevolgtrekking -- moet vooroordeltoetse in plek he.
6. Minimering voor fyn-afstemming -- Jy moet persoonlike rekords verminder voor fyn-afstemming. 'n Beleid alleen is nie genoeg nie.
7. Uitwissing uit modelgewigte -- As rekords modelgewigte binnegaan, benodig jy 'n plan om uitwissingsversoeke te hanteer. Tegniese of gelykwaardige waarborge word vereis.
8. Derdeparty KI-oorsig -- As jy 'n ander maatskappy se KI gebruik, moet jy sy nakoming van al agt punte nagaan en aanteken.
Hierdie agt reels vorm 'n praktiese kontrolelys vir enige VK KI-ontplooiing.
VK-Toepassing: Die Skuif na Boetes
Die reguleerder het vroeeer leidingas oor strafmaatreels verkies. Dit is besig om te verander. Onlangse optredes toon 'n duidelike patroon:
| Optrede | Bedrag | Jaar | Rede |
|---|---|---|---|
| British Airways | £20M | 2020 | Skending -- swak sekuriteit |
| Marriott International | £18.4M | 2020 | Skending -- swak omsigtigheid |
| LastPass VK | £1.2M | 2025 | Versleutelingsontwerp-mislukking |
| Verkiesingskommissie | £4.4M berisping | 2023 | Ongepatchde bediener |
67 toepassingskennisgewings is in 2024 uitgereik -- 'n rekord. Die LastPass-saak is merkwaardig omdat die boete vir 'n ontwerpkeuse was, nie net vir 'n skendingsuitkoms nie. Reguleerders het noukeurig gekyk hoe LastPass sy stelsel gebou het. Dit is nuut.
VK-EU-Oordragte: Tweerigtingrisiko
VK-organisasies wat EU-persoonlike rekords hanteer, staan bloot aan verpligtinge van beide kante.
Van EU na VK: Die EU het die VK in 2021 'n toereikendheidsbelyning toegestaan. Dit is steeds geldig. Maar dit word wetlik betwis. Moenie daarop alleen staatmaak nie -- standaard kontraktuele klousules (SCC's) is 'n verstandige rugsteun.
Van VK na EU: Geen huidige reel blokkeer die skuif van VK-rekords na EU-verwerkers nie. Maar 'n EU-verwerker wat VK-rekords hanteer, kan steeds EU GDPR-reels aan sy kant aktiveer.
Praktiese stap: Skryf jou VK GDPR-posisie en jou EU GDPR-posisie as twee afsonderlike dokumente. Let op waar hulle ooreenstem en waar hulle verskil. Dit is die rekord wat jy nodig het as 'n reguleerder vra. Ons nakomingsoorsig karteer beide kante.
Vir 'n dieper blik op nulkennis-ontwerp en hoe dit die bedienerskendingsrisiko wat in LastPass geidentifiseer is, aanspreek, lees ons sekuriteits- en privaatheidsargitektuurblad.