UK GDPR Na Brexit: Wat Verander Het
Die UK se Data Protection and Digital Information (DPDI) Wet van 2025 maak 14 veranderinge aan EU GDPR-reels. Dit skep die eerste werklike skeiding tussen EU- en UK-privaatheidsreg sedert Brexit. Die EU-VK-gepastheidsreeling word hersien. Die uitkoms is belangrik vir elke besigheid wat persoonlike data tussen die twee gebiede oordra.
Die LastPass-boete: 'n Nuwe Tegniese Standaard
Die ICO het LastPass UK in Desember 2025 £1,2 miljoen beboet. Dit is die UK se grootste tegniese sekuriteitsgeval tot dusver.
Die ICO het twee kernmislukkings gevind.
Swak enkripsie: LastPass het klientewagwoordkluise met ou enkripsie gestoor. Die ICO het dit "onvoldoende" genoem onder UK GDPR Artikel 32. Sommige kluise het PBKDF2-SHA256 met slegs een iterasie gebruik. Die UK NCSC se dat wagwoordsleutels ten minste 600 000 iterasies benodig.
Wat die wet nou vereis: UK GDPR Artikel 32 eis "toepaslike tegniese maatreels" wat ooreenstem met die "stand van die kuns." Die ICO het bevind dat sleutelafleiding in 2022 baie meer benodig het as wat LastPass gegee het. Wat in 2015 aanvaarbaar was, was in 2022 nie aanvaarbaar nie.
Die gevolg: verkopers se enkripsie is nou 'n ouditeerbare item. U moet kontroleer dat u instrumente huidige parameters gebruik -- nie ou basislyns nie. Sien ons sekuriteit- en nakomingsoorsig vir hoe ons dit hanteer.
DPDI-wet 2025: Ses Sleutelveranderinge
Die wet maak 14 geidentifiseerde veranderinge aan UK-datareg. Ses het direkte daaglikse impak.
1. Wettige belange. Die wet lys "erkende wettige belange." Hierdie slaap die balanseeringstoets oor wat EU-reg steeds vereis. Dit maak die grond makliker om te gebruik vir UK-besighede.
2. Navorsing en statistieke. Die wet verbreed die navorsingsuitsondering. Sekondere gebruik van persoonlike data vir navorsing vereis minder toestemmings as EU-reg.
3. Outomatiese besluite. Die wet vervang EU Artikel 22. Die nuwe reel is meer ontspanne. Sommige outomatiese besluite benodig nie meer betekenisvolle menslike oorsig nie.
4. Rekordbewaring. Die wet laat verpligte verwerkingsrekords (ROPA) vaar vir firmas met minder as 250 personeel sonder "stelselmatige" verwerking. EU-reels vereis ROPA vir alle firmas waarvan verwerking nie toevallig is nie.
5. Koekie-toestemming. Die wet sny toestemmingsreels vir analitiese koekies. Dit ondersteun "koekie-vrye" opsies. EU ePrivacy-reels vereis steeds toestemming vir naspoorkkoekies.
6. Internasionale oordragte. Die UK-Staatssekretaris kry wyer bevoegdheid om gepastheidsverklarings toe te ken. Die UK kan lande goedkeur wat die EU nie goedgekeur het nie. Dit splits die oordragsraamwerk aan beide kante.
Die Gepastheidsrisiko
Die Europese Kommissie sal kontroleer of UK-reg "wesenlik gelykwaardige" beskerming bied as EU-reels.
Drie gebiede bekommer EU-toesighouers.
Die DPDI-wet se wyer wettige belange kan gapings laat wat die Kommissie onvoldoende noem. Die UK Investigatory Powers Act 2016 wek steeds kommer in verband met CJEU-saakrgronde. UK-VS-kontrakte onder die CLOUD Act kan EU-data aan die wettige gesag van die VS blootstel.
As gepastheid opgeskort word, moet meer as 10 000 UK-EU Standaard Kontraktuele Klousule-stelle vinnig geaktiveer word. Firmas wat slegs op gepastheid vir UK-EU-oordragte staatmaak, sal oornag voor gapings te staan kom. Kontroleer ons nakomingsgids om u blootstelling na te gaan.
Om Albei Regimes Gelyktydig te Bestuur
Vir firmas onder beide EU- en UK-reg is die pad duidelik.
Gebruik die strenger basislyn. EU Artikel 32, die EU-wettige-belange-toets, en EU-outomatiese-besluitreels is almal strenger as hul UK-wet-ewekniee. As u aan EU-reels voldoen, voldoen u ook aan UK-reels, plus 'n paar UK-ekstra's.
Dokumenteer beide regsgronde. Vir wettige belange, skryf beide die EU-balanseeringtoetsresultaat neer en bewys dat die verwerking in 'n UK-erkende kategorie val. Dubbele rekords beskerm u as reels verder uitmekaar gaan.
Hou SKK's gereed. Die 2026-gepastheidshersiening sal besluit of u afsonderlike oordragsinstrumente benodig. Hou Standaard Kontraktuele Klousules lewend as rugsteun terwyl u gepastheid gebruik.
Kontroleer verkopers se enkripsie. Die LastPass-saak maak verkopers se enkripsie 'n lewende nakomingsitem. Bevestig dat instrumente wat persoonlike data hanteer huidige instellings gebruik: AES-256-GCM in rus, argon2id of PBKDF2 met huidige iterasietelle vir sleutelafleiding. Blaai deur ons Gereelde Vrae vir algemene ouditvrae.
Die UK-split is die eerste werklike breuk in die EU-privaatheidmodel. Vir firmas in beide gebiede is die veiligste stap om vir die harder standaard te ontwerp -- wat steeds die EU-raamwerk is.
anonym.legal verwerk dokumente in EU-gebaseerde Hetzner-datasentrums met 'n nul-kennisontwerp. Die bediener sien nooit u gewone teks nie. 'n Volledige bedienerbreuk lewer slegs AES-256-GCM-syferteks op. Plaaslike verwerking nodig? Die Tafelblad-app loop op u toestel sonder eksterne verbindings.