UK GDPR etter Brexit: Hva som endret seg
UK Data Protection Act 2018 innfarte UK GDPR i lovgivningen. Den ligger tett opp til EU GDPR - men ikke pa alle omrader. Jobber du i bade Storbritannia og EU, maa du gjennom to separate samsvarskontroller.
Det som forble likt:
- Seks lovlige grunnlag for behandling
- Registrertes rettigheter: innsyn, sletting, retting, portabilitet
- 72-timers varsling om brudd til tilsynsmyndigheten
- Innebygd personvern og personvern som standard
Det som endret seg:
- Storbritannia foretar egne adekvansavgjoerelser for grenseoverskridende overfoeringer
- Britisk AI-veiledning fra 2023-2024 gaar lenger enn EDPB
- Britiske forskningsunntak er noe bredere enn de europeiske
- Tilsynsmyndigheten gaar fra radgivning til boter - raskere enn foer
Kloeften mellom britiske og europeiske regler er reell. Behandle dem som to separate sjekklister.
LastPass-boten: Kryptering er naa en juridisk test
I desember 2025 bota ICO LastPass UK £1,2 millioner for et mangelfullt krypteringsoppsett. Dette er den viktigste britiske GDPR-avgjoerelsen om teknisk sikkerhet til dato.
Hva tilsynsmyndigheten fant: LastPass lagret hvelv-poster med serverlagrede noekler. Alle som naadd serveren, kunne lese hvelvet. Vedtaket fant at dette braut testen for "passende tekniske tiltak" i UK GDPR artikkel 32.
Den sentrale formuleringen fra vedtaket: "Den behandlingsansvarlige burde ha brukt kryptering pa klientsiden. Dette ville ha holdt brukernes hvelv-poster trygge selv om serveren ble kompromittert."
Hva dette innfarer: Dersom en sikrere losning finnes og kan bygges, kan bruk av den svakere losningen naa bryte artikkel 32. Serverside noekkelforvaltning er ikke lenger et trygt standardvalg for sensitive poster.
Hvem er utsatt: Enhver tjeneste som lagrer sensitive poster og oppbevarer krypteringsnoekler pa egne servere. Dette gjelder ogsaa verktoy som logger tekst for revisjonsformaal, bruksstatistikk eller dokumenthistorikk. Dersom serveren kan lese teksten, kan tilsynsmyndigheter sporsmaalssette hvorfor du ikke brukte klientsideutforming. Se hvordan anonym.legal haandterer dette med null-kunnskapsarkitektur.
Britisk AI-veiledning: Atte tekniske regler
Den britiske tilsynsmyndigheten publiserte detaljert AI-veiledning i 2023-2024. Den dekker atte spesifikke krav til generative AI-systemer. EUs tilsvarende veiledning er mindre detaljert.
1. Opprinnelse til treningsdata - AI trent pa personopplysninger maa logge hvor dataene kom fra og hvilke steg som ble brukt for a rense dem.
2. Overvaking av utdata - Systemer som produserer personlig utdata, maa ha kontroller for a oppdage og stoppe ulovlige utleveringer.
3. Formalsbegren sning - Opplysninger brukt til AI-trening maa samsvare med det oppgitte formalet. Generell trening pa kundeopplysninger krever et klart rettslig grunnlag.
4. Rettigheter ved automatiserte avgjorelser - Dersom AI-en tar viktige beslutninger om en person, maa den stoette innsyn, forklaring og klageadgang.
5. Overvaaking av skjevhet - Systemer som bruker beskyttede egenskaper - direkte eller ved slutning - maa ha skjevhetskontroller.
6. Minimering foer finjustering - Du maa redusere personopplysninger foer finjustering. En policy alene er ikke nok.
7. Sletting fra modellvekter - Dersom opplysninger inngaar i modellvekter, trenger du en plan for aa haandtere sletteforsporsler. Tekniske eller tilsvarende sikringstiltak er paalagt.
8. Gjennomgang av tredjeparts-AI - Dersom du bruker en annen virksomhets AI, maa du kontrollere og registrere dens samsvar med alle atte punkter.
Disse atte reglene utgjor en praktisk sjekkliste for enhver britisk AI-implementering.
Britisk haandheving: Skiftet mot boter
Tilsynsmyndigheten foretrakk tidligere veiledningsbrev fremfor sanksjoner. Det er i ferd med a endre seg. Nylige tiltak viser et tydelig monster:
| Tiltak | Belop | Ar | Arsak |
|---|---|---|---|
| British Airways | £20M | 2020 | Brudd - svak sikkerhet |
| Marriott International | £18,4M | 2020 | Brudd - mangelfull aktsomhet |
| LastPass UK | £1,2M | 2025 | Feil i krypteringsutforming |
| Electoral Commission | £4,4M irettesettelse | 2023 | Uoppdatert server |
67 haaandhevingarpaalegg ble utstedt i 2024 - en rekord. LastPass-saken er bemerkelsesverdig fordi boten ble gitt for et utformingsvalg, ikke bare et bruddresultat. Tilsynsmyndigheten gransket maten LastPass bygde systemet sitt pa. Det er nytt.
UK-EU-overfoeringer: Toveisrisiko
Britiske organisasjoner som haandterer europeiske personopplysninger, har forpliktelser fra begge sider.
Fra EU til Storbritannia: EU innvilget Storbritannia en adekvansavgjoerelse i 2021. Den er fremdeles gyldig. Men den er under juridisk utfordring. Stol ikke pa den alene - standard kontraktsklausuler (SCC-er) er en fornuftig sikkerhetskopi.
Fra Storbritannia til EU: Ingen gjeldende regel hindrer overforing av britiske opplysninger til europeiske behandlere. Men en europeisk behandler som haandterer britiske opplysninger, kan likevel utlose EU GDPR-regler pa sin side.
Praktisk steg: Skriv din britiske GDPR-stilling og din europeiske GDPR-stilling som to separate dokumenter. Noter hvor de samsvarer og hvor de avviker. Dette er den dokumentasjonen du trenger dersom en tilsynsmyndighet sporsmaalssetter. Vaar samsvars-oversikt kartlegger begge sider.
For et dypere blikk pa null-kunnskapsutforming og hvordan det adresserer server-bruddrisikoen identifisert i LastPass, les vaar side for sikkerhet og personvern-arkitektur.
Kilder
- ICO: UK GDPR-veiledning og ressurser - VERIFIED-EXTERNAL
- ICO: LastPass-haaandhevingarvedtak, desember 2025 - VERIFIED-EXTERNAL
- ICO: AI og personvernveiledning - VERIFIED-EXTERNAL
- ICO: Aarlig haaandhevingarrapport 2024 - VERIFIED-EXTERNAL