anonym.legal

By · Last updated 2026-06-05

Tilbage til BlogGDPR & Overholdelse

UK GDPR efter Brexit: Tekniske forskelle

DPDI-loven 2025 indfører 14 afvigelser fra EU's GDPR. EU-UK-tilstrækkelighed under revision i 2026. £1,2 mio. LastPass-bøde fastsatte kryptering som lovkrav.

June 5, 202610 min læsning
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

UK GDPR efter Brexit: Hvad ændrede sig

Storbritanniens Data Protection and Digital Information (DPDI) Act 2025 indfører 14 ændringer til EU's GDPR-regler. Disse skaber den første reelle splittelse mellem EU's og UK's privatlivslovgivning siden Brexit. EU-UK-tilstrækkelighedsaftalen er under revision. Udfaldet har betydning for enhver virksomhed, der overfører personoplysninger mellem de to regioner.

LastPass-bøden: En ny teknisk standard

ICO bødede LastPass UK med £1,2 millioner i december 2025. Det er UK's hidtil største sag om teknisk sikkerhed.

ICO fandt to kerneproblemer.

Svag kryptering: LastPass gemte kundernes adgangskodesamlinger med gammel kryptering. ICO kaldte det "utilstrækkelig" under UK GDPR artikel 32. Nogle samlinger brugte PBKDF2-SHA256 med kun én iteration. UK NCSC siger, at adgangskodernøgler kræver mindst 600.000 iterationer.

Hvad loven nu kræver: UK GDPR artikel 32 kræver "passende tekniske foranstaltninger", der matcher "state of the art". ICO fandt, at nøgleafledning i 2022 krævede langt mere end LastPass gav. Det, der var i orden i 2015, var ikke i orden i 2022.

Resultatet: leverandørkryptering er nu et reviderbart element. Du skal kontrollere, at dine værktøjer bruger aktuelle parametre — ikke gamle grundlinjer. Se vores sikkerheds- og compliance-oversigt for, hvordan vi håndterer dette.

DPDI-loven 2025: Seks vigtige ændringer

Loven indfører 14 identificerede ændringer til britisk datalovgivning. Seks har direkte daglig indvirkning.

1. Legitime interesser. Loven opregner "anerkendte legitime interesser". Disse springer den afvejningstest, EU-retten stadig kræver. Dette gør grundlaget lettere at anvende for britiske virksomheder.

2. Forskning og statistik. Loven udvider forskningsundtagelsen. Sekundær brug af personoplysninger til forskning kræver færre samtykker end EU-retten kræver.

3. Automatiserede afgørelser. Loven erstatter EU artikel 22. Den nye regel er mere lempelig. Visse automatiserede afgørelser kræver ikke længere meningsfuld menneskelig gennemgang.

4. Registrering. Loven afskaffer obligatoriske behandlingsregistre (ROPA) for virksomheder under 250 medarbejdere uden "systematisk" behandling. EU-regler kræver ROPA for alle virksomheder, hvis behandling ikke er lejlighedsvis.

5. Cookiesamtykke. Loven reducerer samtykkekrav for analysecookies. Det støtter "cookie-fri" løsninger. EU's ePrivacy-regler kræver stadig samtykke til sporingscookies.

6. Internationale overførsler. Den britiske indenrigsminister får bredere beføjelser til at godkende tilstrækkelighed. UK kan godkende lande, som EU ikke har godkendt. Dette splitter overførselsrammen på begge sider.

Tilstrækkelighedsrisikoen

Europa-Kommissionen vil kontrollere, om britisk lovgivning giver "i det væsentlige tilsvarende" beskyttelse som EU-reglerne.

Tre områder bekymrer EU-tilsynsorganer.

DPDI-lovens bredere legitime interesser kan efterlade huller, som Kommissionen kalder utilstrækkelige. Briternes Investigatory Powers Act 2016 giver stadig anledning til bekymringer i forbindelse med EU-Domstolens retspraksis. Britisk-amerikanske aftaler under CLOUD Act kan eksponere EU-data for amerikanske retshåndhævelses­myndigheder.

Hvis tilstrækkelighed suspenderes, skal over 10.000 britisk-EU-standardkontraktklausuler hurtigt aktiveres. Virksomheder, der udelukkende stoler på tilstrækkelighed for britisk-EU-overførsler, vil stå over for huller fra dag ét. Tjek vores compliance-vejledning for at gennemgå din eksponering.

Drift under begge regimer på én gang

For virksomheder under både EU- og UK-ret er vejen klar.

Brug den strengeste grundlinje. EU artikel 32, EU's test for legitime interesser og EU's regler for automatiserede afgørelser er alle strengere end deres ækvivalenter i UK-loven. Opfyldelse af EU-regler betyder opfyldelse af UK-regler plus et par britiske særregler.

Dokumentér begge retsgrundlag. For legitime interesser: nedskriv både resultatet af EU's afvejningstest og bevis for, at behandlingen passer ind i en britisk anerkendt kategori. Dobbelt dokumentation beskytter dig, hvis reglerne divergerer yderligere.

Hold SCC'er klar. Tilstrækkelighedsrevisionen i 2026 afgør, om du har brug for separate overførselsredskaber. Hold Standard Contractual Clauses aktive som backup, selv mens du anvender tilstrækkelighed.

Tjek leverandørkryptering. LastPass-sagen gør leverandørkryptering til et aktivt compliance-punkt. Bekræft, at værktøjer, der håndterer personoplysninger, bruger aktuelle indstillinger: AES-256-GCM i hvile, argon2id eller PBKDF2 med aktuelle iterationsantal for nøgleafledning. Gennemse vores FAQ for almindelige revisionsspørgsmål.

Britisk opdeling er det første reelle brud i EU's privatlivsmodel. For virksomheder i begge regioner er det sikreste at designe efter den hårdere standard — som stadig er EU-rammen.

anonym.legal behandler dokumenter i EU-baserede Hetzner-datacentre med zero-knowledge-design. Serveren ser aldrig din klartekst. Et fuldt serverbrud giver kun AES-256-GCM-chiffertekst. Har du brug for lokal behandling? Desktop-appen kører på din enhed uden eksterne forbindelser.

Kilder

Relaterede Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til at beskytte dine data?

Begynd at anonymisere PII med 285+ enhedstyper på tværs af 48 sprog.

Start Gratis PrøveperiodeSe Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.