Den britiske Data Protection and Digital Information (DPDI) Act 2025 laver 14 betydelige afvigelser fra EU GDPR — hvilket skaber den første substantielle regulatoriske divergens mellem EU og UKs databeskyttelsesrammer siden Brexit. EU-UK tilstrækkelighedsbeslutningen, der oprindeligt var gyldig indtil juni 2025 og forlænget i afventning af gennemgang, står over for stigende granskning fra GDPR-praktikere og den Europæiske Kommission.
LastPass Håndhævelse: UK GDPR's Tekniske Benchmark
ICO's £1,2 millioner bøde mod LastPass UK i december 2025 er UKs mest betydningsfulde tekniske sikkerhedshåndhævelsesag. ICO fandt:
Krypteringsutilstrækkelighed: LastPass opbevarede kundernes masteradgangskoder med forældet kryptering, som ICO fandt "utilstrækkelig" i henhold til UK GDPR Artikel 32. Specifikt fandt ICO, at nogle vault iterationer brugte PBKDF2-SHA256 med kun 1 iteration — langt under UK NCSCs minimumsanbefaling på 600.000 iterationer for adgangskodeafledte nøgler.
Den juridiske standard etableret: UK GDPR Artikel 32 kræver "passende tekniske foranstaltninger" der afspejler "state of the art." ICO fandt, at "state of the art" for krypteringsnøgleafledning i 2022 (da bruddet skete) krævede langt mere end LastPass leverede. Dette fastslår, at sikkerhedsstandarder udvikler sig — hvad der var acceptabelt i 2015, er måske ikke acceptabelt i 2022.
Direkte implikation for krypteringsværktøjer: Organisationer, der bruger databehandlingsværktøjer, skal verificere, at disse værktøjers krypteringsimplementeringer opfylder nuværende "state of the art" standarder, ikke kun minimumsbaseline standarder. ICO's LastPass håndhævelse gør leverandørens krypteringskvalitet til et direkte reviderbart overholdelseskrav.
DPDI-loven 2025: Nøgleafvigelser fra EU GDPR
DPDI-loven laver 14 identificerede afvigelser fra EU GDPR. De mest operationelt betydningsfulde:
1. Reform af legitime interesser: DPDI-loven skaber en liste over "anerkendte legitime interesser" der ikke kræver EU GDPR's afvejningstest mod registreredes interesser. Dette gør legitim interesse til en mere tilgængelig juridisk basis for britiske organisationer — hvilket reducerer samtykkekravene for nogle kommercielle behandlinger.
2. Forskning, statistik og arkivering: DPDI-loven udvider forskningsundtagelsen betydeligt, hvilket tillader bredere sekundær brug af persondata til forskningsformål uden eksplicitte samtykkekrav, som EU GDPR pålægger.
3. Automatiseret beslutningstagning: DPDI-lovens erstatning for GDPR Artikel 22 (automatiserede beslutningstagning rettigheder) er mere tilladende for kommercielle automatiserede beslutninger. Kravet om meningsfuld menneskelig gennemgang er lempet for nogle kategorier af automatiseret behandling.
4. Registrering: DPDI-loven fjerner obligatoriske ROPA (registre over behandlingsaktiviteter) krav for små organisationer (under 250 ansatte) uden "systematisk" behandling. EU GDPR kræver ROPA for alle organisationer, hvis behandling ikke er lejlighedsvis.
5. Cookie-samtykke: DPDI-loven inkluderer bestemmelser for "cookie-frie alternativer" og reducerer samtykkekravene for analyse-cookies — specifikt designet til at reducere byrden fra cookie-samtykkebannere. EU GDPR's ePrivacy krav (håndhævet parallelt) kræver stadig samtykke til tracking-cookies.
6. Internationale overførsler: DPDI-loven giver den britiske udenrigsminister bredere beføjelser til at give tilstrækkelighedsbeslutninger — hvilket potentielt tillader UK at give tilstrækkelighed til lande, som EU ikke har, hvilket skaber divergerende overførselsrammer.
Tilstrækkelighedsrisiko: Hvad Kan Udløse EU Gennemgang
Den Europæiske Kommissions tilstrækkelighedsgennemgang af UK vil vurdere, om UK GDPR (som ændret af DPDI-loven) giver "essentielt ækvivalent" beskyttelse til EU GDPR:
Områder af bekymring identificeret af EU overvågere:
- DPDI-lovens udvidelse af legitime interesser kan skabe huller, som EU anser for utilstrækkelige
- UKs overvågningslov (Investigatory Powers Act 2016) forbliver uforenelig med GDPR-standarder ifølge CJEU-præcedens i relaterede sager
- UK-US dataudvekslingsordninger under CLOUD Act skaber potentiale for EU-dataeksponering for amerikansk retshåndhævelse
Hvis tilstrækkelighed suspenderes eller tilbagekaldes: 10.000+ UK-EU Standard Contractual Clause ordninger skal straks aktiveres. Organisationer, der i øjeblikket kun er afhængige af tilstrækkelighed for UK-EU overførsler, vil stå over for overholdelsesgaps.
Opretholdelse af Dual EU + UK GDPR Overholdelse
For organisationer, der er underlagt både EU GDPR og UK GDPR, er den praktiske tilgang:
Brug den strengere standard som baseline: EU GDPR Artikel 32, GDPR's legitime interesser afvejningstest og GDPR's krav til automatiseret beslutningstagning er strengere end deres DPDI-lov ækvivalenter. Organisationer, der opfylder EU GDPR-standarder, opfylder automatisk UK GDPR-standarder (med mindre UK-specifikke tilføjelser).
Dokumenter begge juridiske baser: For behandling under legitime interesser, dokumenter både EU GDPR afvejningstest og at behandlingen ville falde inden for UK DPDI-lovens anerkendte legitime interesser. Dual dokumentation beskytter mod divergens.
Overvåg tilstrækkelighedsbeslutningens status: Resultatet af tilstrækkelighedsgennemgangen i 2026 vil afgøre, om separate overførselsmekanismer er nødvendige for UK-EU overførsler. Organisationer bør opretholde SCC'er som en backupmekanisme, selvom de i øjeblikket er afhængige af tilstrækkelighed.
Kryptering til nuværende state-of-the-art: ICO's LastPass håndhævelse gør leverandørens krypteringsstandarder til en aktiv overholdelsesovervejelse. Verificer, at PII-værktøjer, datalagre og nøglehåndteringsimplementeringer bruger nuværende anbefalede parametre (AES-256-GCM, argon2id til nøgleafledning med nuværende parameteranbefalinger).
UKs post-Brexit GDPR divergens repræsenterer den første betydelige brud på EU's databeskyttelsesstandarder. For organisationer, der opererer på tværs af begge jurisdiktioner, er den sikreste holdning at designe til de mest strenge gældende krav — som stadig er EU GDPR's kerne tekniske standarder.
Kilder: