Den britiske Data Protection and Digital Information (DPDI) Act 2025 gjør 14 betydelige avvik fra EU GDPR — og skaper den første substansielle regulatoriske divergensen mellom EU og UKs databeskyttelsesrammer siden Brexit. EU-UK adekvat beslutning, opprinnelig gyldig til juni 2025 og forlenget i påvente av vurdering, står overfor økende granskning fra GDPR-praktikere og Europakommisjonen.
LastPass Håndhevelse: UK GDPRs Tekniske Referanse
ICO's £1,2 millioner bot mot LastPass UK i desember 2025 er UKs mest betydningsfulle tekniske sikkerhetshåndhevelsesak. ICO fant:
Krypteringsutilstrekkelighet: LastPass lagret kundens masterpassord-lagre med foreldet kryptering som ICO fant "utilstrekkelig" under UK GDPR Artikkel 32. Spesielt fant ICO at noen lagringsiterasjoner brukte PBKDF2-SHA256 med bare 1 iterasjon — langt under UK NCSC's minimumsanbefaling på 600 000 iterasjoner for passordavledede nøkler.
Den juridiske standarden etablert: UK GDPR Artikkel 32 krever "passende tekniske tiltak" som reflekterer "tilstanden i kunsten." ICO fant at "tilstanden i kunsten" for krypteringsnøkkelavledning i 2022 (da bruddet skjedde) krevde langt mer enn LastPass ga. Dette etablerer at sikkerhetsstandarder utvikler seg — hva som var akseptabelt i 2015, er kanskje ikke akseptabelt i 2022.
Direkte implikasjon for krypteringsverktøy: Organisasjoner som bruker databehandlingsverktøy må verifisere at krypteringsimplementeringene til disse verktøyene møter nåværende "tilstanden i kunsten" standarder, ikke bare minimumsstandarder. ICO's LastPass håndhevelse gjør leverandørens krypteringskvalitet til et direkte revidert samsvars krav.
DPDI-loven 2025: Nøkkel Divergenser fra EU GDPR
DPDI-loven gjør 14 identifiserte avvik fra EU GDPR. De mest operasjonelt betydningsfulle:
1. Reform av legitime interesser: DPDI-loven oppretter en liste over "anerkjente legitime interesser" som ikke krever EU GDPRs balanseringstest mot data subjects interesser. Dette gjør legitime interesser til et mer tilgjengelig juridisk grunnlag for britiske organisasjoner — og reduserer samtykkekravene for noen kommersielle behandlinger.
2. Forskning, statistikk og arkivering: DPDI-loven utvider forskningsunntaket betydelig, og tillater bredere sekundær bruk av personopplysninger for forskningsformål uten eksplisitte samtykkekrav som EU GDPR pålegger.
3. Automatisert beslutningstaking: DPDI-lovens erstatning for GDPR Artikkel 22 (rettigheter til automatisert beslutningstaking) er mer permissiv for kommersielle automatiserte beslutninger. Kravet om meningsfull menneskelig gjennomgang er avslappet for noen kategorier av automatisert behandling.
4. Registrering: DPDI-loven fjerner obligatoriske ROPA (registre over behandlingsaktiviteter) krav for små organisasjoner (under 250 ansatte) uten "systematisk" behandling. EU GDPR krever ROPA for alle organisasjoner hvis behandling ikke er sporadisk.
5. Cookie-samtykke: DPDI-loven inkluderer bestemmelser for "cookie-frie alternativer" og reduserer samtykkekravene for analyse-cookies — spesifikt designet for å redusere byrden av cookie-samtykkebanner. EU GDPRs ePrivacy krav (håndhevet parallelt) krever fortsatt samtykke for sporingscookies.
6. Internasjonale overføringer: DPDI-loven gir den britiske statsråden bredere myndighet til å gi adekvat beslutninger — noe som potensielt tillater UK å gi adekvat til land som EU ikke har, og skaper divergerende overføringsrammer.
Adekvat Risikofaktor: Hva Kan Utløse EU Vurdering
EU-kommisjonens vurdering av UKs adekvat vil vurdere om UK GDPR (som modifisert av DPDI-loven) gir "essensielt ekvivalent" beskyttelse til EU GDPR:
Områder med bekymringer identifisert av EU-overvåkere:
- DPDI-lovens utvidelse av legitime interesser kan skape hull som EU anser som utilstrekkelige
- UKs overvåkningslov (Investigatory Powers Act 2016) forblir inkompatibel med GDPR-standarder ifølge CJEUs presedens i relaterte saker
- UK-US datadeling avtaler under CLOUD Act skaper potensial for EU-dataeksponering for tilgang fra amerikansk rettshåndhevelse
Hvis adekvat blir suspendert eller tilbakekalt: 10 000+ UK-EU Standard Contractual Clause avtaler må umiddelbart aktiveres. Organisasjoner som for tiden kun er avhengige av adekvat for UK-EU overføringer vil stå overfor samsvars hull.
Opprettholde Dobbel EU + UK GDPR Samsvar
For organisasjoner som er underlagt både EU GDPR og UK GDPR, er den praktiske tilnærmingen:
Bruk den strengere standarden som baseline: EU GDPR Artikkel 32, GDPRs balanseringstest for legitime interesser, og GDPRs krav til automatisert beslutningstaking er strengere enn deres DPDI-lov ekvivalenter. Organisasjoner som møter EU GDPR-standarder møter automatisk UK GDPR-standarder (med mindre UK-spesifikke tillegg).
Dokumenter begge juridiske grunnlag: For behandling under legitime interesser, dokumenter både EU GDPR balanseringstest og at behandlingen vil falle innenfor UK DPDI-lovens anerkjente legitime interesser. Dobbelt dokumentasjon beskytter mot divergens.
Overvåk adekvat beslutningsstatus: Utfallet av adekvat vurdering i 2026 vil avgjøre om separate overføringsmekanismer er nødvendige for UK-EU overføringer. Organisasjoner bør opprettholde SCCer som en backup-mekanisme selv om de for tiden er avhengige av adekvat.
Kryptering til nåværende tilstand i kunsten: ICO's LastPass håndhevelse gjør leverandørens krypteringsstandarder til en aktiv samsvarsbetraktning. Verifiser at PII-verktøy, datalagre og nøkkeladministrasjonsimplementeringer bruker nåværende anbefalte parametere (AES-256-GCM, argon2id for nøkkelavledning med nåværende parameteranbefalinger).
UKs post-Brexit GDPR divergens representerer den første betydelige oppdelingen av EUs databeskyttelsesstandarder. For organisasjoner som opererer på tvers av begge jurisdiksjoner, er den tryggeste holdningen å designe for de mest strenge gjeldende kravene — som fortsatt er EUs GDPRs kjerne tekniske standarder.
Kilder: