anonym.legal

By · Last updated 2026-06-05

Tilbake til BloggGDPR & Overholdelse

UK GDPR etter Brexit: Tekniske forskjeller

DPDI Act 2025 innforer 14 avvik fra EU GDPR. EU-UK tilstrekkelighet er under vurdering i 2026. LastPass-boten pa £1,2 millioner fastslo kryptering som et juridisk krav.

June 5, 202610 min lesing
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

UK GDPR etter Brexit: Hva som endret seg

Storebritannias Data Protection and Digital Information (DPDI) Act 2025 innforer 14 endringer i EU GDPR-reglene. Dette skaper den forste reelle splittelsen mellom EUs og Storbritannias personvernlovgivning siden Brexit. EU-UK-tilstrekkelighetsavtalen er under gjennomgang. Utfallet er avgjorende for enhver virksomhet som flytter personopplysninger mellom de to regionene.

LastPass-boten: En ny teknisk terskel

ICO ilagde LastPass UK en bot pa £1,2 millioner i desember 2025. Dette er Storbritannias storste tekniske sikkerhetsrettssak til dags dato.

ICO avdekket to grunnleggende svakheter.

Svak kryptering: LastPass lagret kunders passordhvelv med utdatert kryptering. ICO kalte det "utilstrekkelig" under UK GDPR artikkel 32. Noen hvelv brukte PBKDF2-SHA256 med bare ett iterasjonstrinn. UK NCSC anbefaler minst 600 000 iterasjoner for passordnokkler.

Hva loven na krever: UK GDPR artikkel 32 krever "passende tekniske tiltak" som matcher "teknologiens navaerende stand." ICO fant at nokkelutledning i 2022 krevde langt mer enn det LastPass leverte. Det som var akseptabelt i 2015, holdt ikke malt i 2022.

Resultatet: leverandorkryptering er na et punkt som kan revideres. Du ma kontrollere at verktoyene dine bruker aktuelle parametere — ikke gamle grunnlinjer. Se vart sikkerhets- og samsvarssammendrag for hvordan vi handterer dette.

DPDI Act 2025: Seks viktige endringer

Loven gjor 14 identifiserte endringer i britisk personvernlov. Seks har direkte innvirkning pa daglig drift.

1. Berettiget interesse. Loven lister opp "anerkjente berettigede interesser." Disse slipper avveiingstesten som EU-retten fortsatt krever. Dette gjor grunnlaget enklere a bruke for britiske virksomheter.

2. Forskning og statistikk. Loven utvider forskningsunntaket. Sekundaer bruk av personopplysninger til forskning krever farre samtykker enn EU-retten krever.

3. Automatiserte beslutninger. Loven erstatter EU artikkel 22. Den nye regelen er mer fleksibel. Noen automatiserte beslutninger trenger ikke lenger meningsfull menneskelig gjennomgang.

4. Journalforing. Loven fjerner plikten til behandlingsregistre (ROPA) for virksomheter under 250 ansatte uten "systematisk" behandling. EU-reglene krever ROPA for alle virksomheter der behandlingen ikke er sporadisk.

5. Informasjonskapsler. Loven reduserer samtykkekravene for analyseinformasjonskapsler. Den stotter "sporingsfrie" losninger. EUs ePrivacy-regler krever fortsatt samtykke for sporingsinforkapsler.

6. Internasjonale overforinger. Den britiske statssekretaeren far utvidet myndighet til a gi tilstrekkelighetsavgjoringer. Storbritannia kan godkjenne land som EU ikke har godkjent. Dette splitter overforingsrammeverket pa begge sider.

Tilstrekkelighetsrisikoen

Europakommisjonen vil vurdere om britisk lov gir "i det vesentlige tilsvarende" beskyttelse som EU-reglene.

Tre omrader bekymrer EU-overvakerne.

DPDI Acts bredere berettigede interesser kan skape hull som Kommisjonen anser som utilstrekkelige. Investigatory Powers Act 2016 reiser fortsatt bekymringer knyttet til CJEU-rettspraksis. Britisk-amerikanske avtaler under CLOUD Act kan eksponere EU-data for amerikansk rettshjandhevelse.

Dersom tilstrekkeligheten oppheves, ville over 10 000 britisk-europeiske standardkontraktsklausuler trenge rask aktivering. Virksomheter som bare stoler pa tilstrekkelighet for UK-EU-overforinger, ville sta overfor hull over natten. Sjekk var samsvarsguide for a vurdere din eksponering.

A drive begge regelverk samtidig

For virksomheter underlagt bade EU- og UK-lov er veien klar.

Bruk det strengeste utgangspunktet. EU artikkel 32, EUs avveiingstest for berettiget interesse og EUs regler for automatiserte beslutninger er alle strengere enn sine britiske ekvivalenter. A oppfylle EU-reglene innebarer a oppfylle UK-reglene, pluss noen fa britiske tillegg.

Dokumenter begge rettsgrunnlag. For berettiget interesse: skriv ned bade resultatet av EUs avveiingstest og bevis pa at behandlingen passer inn i en britisk anerkjent kategori. Dobbel dokumentasjon beskytter deg dersom reglene avviker ytterligere.

Hold SCCer klare. Tilstrekkelighetsgjennomgangen i 2026 vil avgjore om du trenger separate overforingsinstrumenter. Hold standardkontraktsklausuler aktive som sikkerhetsnett selv mens du bruker tilstrekkelighet.

Kontroller leverandorkryptering. LastPass-saken gjor leverandorkryptering til et aktivt samsvarspoeng. Bekreft at verktoy som handterer personopplysninger, bruker aktuelle innstillinger: AES-256-GCM i hvile, argon2id eller PBKDF2 med aktuelle iterasjonstall for nokkelutledning. Se var FAQ for vanlige revisjonssporsmal.

Den britiske splittelsen er det forste reelle bruddet i EUs personvernmodell. For virksomheter i begge regioner er den tryggeste losningen a designe for den strengeste standarden — som fortsatt er EU-rammeverket.

anonym.legal behandler dokumenter i EU-baserte Hetzner-datasentre med nullkunnskapsdesign. Serveren ser aldri klarteksten din. Et fullstendig serverinnbrudd gir bare AES-256-GCM-krypteringstekst. Trenger du lokal behandling? Skrivebordsappen kjoer pa enheten din uten eksterne tilkoblinger.

Kilder

Relaterte Artikler

GDPR & Overholdelse

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Overholdelse

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Overholdelse

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klar til å beskytte dataene dine?

Begynn å anonymisere PII med 285+ enhetstyper på 48 språk.

Start Gratis PrøveperiodeSe Funksjoner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.