Alt du behøver at vide om lovforslaget om dataanvendelse og -adgang

Af Rebecca Harper • 22 September 2025

Storbritanniens nye lov om databrug og -adgang (DUAA) modtog kongelig godkendelse den 19. juni 2025, hvilket markerer en opfriskning af landets lovgivning om databeskyttelse og digital økonomi. Loven, der er designet til at fremme innovation, øge tilliden til datadrevne systemer og forenkle overholdelse af regler, introducerer omfattende reformer på tværs af både den offentlige og den private sektor.

For virksomheder kan ændringerne lette visse administrative byrder på områder som anmodninger om indsigt fra registrerede (DSAR'er) og cookies, samtidig med at de hæver standarden på andre områder, herunder gennemsigtighed, samtykke til markedsføring og håndhævelse. Denne blog forklarer, hvad der ændrer sig, og tilbyder praktiske trin til at hjælpe organisationer med at forberede sig.

Hvor DUAA sidder: Det ændrer, ikke erstatter

Loven erstatter ikke den britiske GDPR eller databeskyttelsesloven fra 2018; i stedet ændrer og supplerer den begge. Den opdaterer også centrale bestemmelser i forordningerne om privatliv og elektronisk kommunikation (PECR), især omkring samtykke til cookies og elektronisk markedsføring.

Samlet set sigter disse reformer mod at skabe et mere "virksomhedsvenligt og innovationsparat datasystem", samtidig med at de centrale principper for databeskyttelse for enkeltpersoner bevares. Men samspillet mellem disse rammer betyder, at organisationer bliver nødt til at navigere omhyggeligt i det nye landskab.

Vigtige ændringer, som virksomheder skal kende

Anerkendte legitime interesser

Loven introducerer et nyt koncept: "anerkendte legitime interesser". Dette er specifikke formål, hvortil organisationer kan behandle personoplysninger uden at skulle foretage en fuldstændig vurdering af legitim interesse. Eksempler herpå omfatter forebyggelse af kriminalitet, beskyttelse af national sikkerhed, opretholdelse af offentlig tryghed, reaktion på nødsituationer, beskyttelse af sårbare personer og videregivelse af oplysninger til en person, der udfører en opgave af almen interesse.

Derudover angiver loven også eksempler på almindelige legitime interesser, der stadig kræver den standardiserede tredelte test: formål, nødvendighed og en afvejningstest med dokumenteret begrundelse, som omfatter aktiviteter såsom direkte markedsføring, intern administration og netværks- eller informationssikkerhed.

Konklusionen er, at selvom dette reducerer papirarbejdet for visse typer databrug, fjerner det ikke kravet om at respektere de registreredes rettigheder. Det er stadig vigtigt at sikre, at behandlingen er nødvendig og forholdsmæssig.

Internationale dataoverførsler

Grænsen for internationale dataoverførsler er blevet sænket. I stedet for at kræve "i det væsentlige tilsvarende" beskyttelse som den britiske GDPR, skal organisationer nu sikre, at beskyttelsen "ikke er væsentligt lavere".

Dette giver virksomheder mere fleksibilitet i globale datastrømme, især når de arbejder med partnere i lande, der ikke er dækket af britiske tilstrækkelighedsregler. Det lægger dog også større ansvar på dataeksportøren for at vurdere beskyttelsen.

Eksportører skal anvende en rimelig og forholdsmæssig tilgang, der tager hensyn til dataenes art, destinationen og de tilhørende risici. Hvis lokale love ikke overholder kravene, skal du implementere yderligere sikkerhedsforanstaltninger, såsom kryptering, adgangskontrol og robuste kontraktvilkår, for at sikre, at dataene forbliver beskyttet i henhold til en standard, der stadig er acceptabel i henhold til britisk lov.

Det er også værd at bemærke, at EU midlertidigt har forlænget Storbritanniens tilstrækkelighedsstatus indtil den 27. december 2025, hvilket giver mulighed for fortsat datastrøm fra EU til Storbritannien, mens Europa-Kommissionen færdiggør sin gennemgang. Virksomheder, der modtager EU-data, bør overvåge udviklingen og overveje kontraktlige alternativer for at undgå afbrydelser.

Anmodninger om indsigt fra registrerede (DSAR'er)

Den nye lovgivning introducerer en mere virksomhedsvenlig standard for DSAR'er, der kræver, at søgninger skal være "rimelige og forholdsmæssige". Dette er en velkommen ændring for organisationer, der tidligere kæmpede med tidskrævende eller overdrevne anmodninger. Det giver virksomheder mulighed for at fokusere indsatsen på at reagere meningsfuldt i stedet for at jagte alle mulige datakilder.

Der er også indført en ny "stop the clock"-bestemmelse. Hvis du har brug for at præcisere anmodningen, verificere anmoderens identitet eller anmode om et gebyr (i tilfælde af åbenlyst grundløse eller overdrevne anmodninger), kan svarfristen på en måned udsættes, indtil du modtager de nødvendige oplysninger, hvilket giver dig lidt plads til at håndtere komplekse eller tvetydige anmodninger effektivt.

De centrale forpligtelser er dog fortsat gældende. Virksomheder skal stadig reagere uden unødig forsinkelse og give klare og tilgængelige oplysninger til de registrerede, og uberettigede forsinkelser vil stadig medføre compliance-risici.

Cookies og markedsføring (PECR)

Visse typer cookies, såsom dem der bruges til serviceforbedring eller målgruppemåling, kræver muligvis ikke længere samtykke, forudsat at de er tydeligt forklaret, og brugerne får passende information og kontrol.

Samtidig strammes håndhævelsen af elektronisk markedsføring. Bøder for brud på PECR-reglerne er blevet bragt i overensstemmelse med den britiske GDPR med sanktioner på op til 17.5 millioner pund eller 4 % af den globale omsætning. Dette understreger behovet for, at virksomheder gennemgår deres samtykkepraksis, opdaterer cookiebannere og privatlivsmeddelelser og sikrer robust intern dokumentation for markedsføringsaktiviteter.

Automatiseret beslutningstagning og AI

Loven indfører mere fleksibilitet for organisationer, der bruger kunstig intelligens og automatiseret beslutningstagning (ADM), og erstatter artikel 22 i den britiske GDPR med et nyt sæt bestemmelser: artikel 22A til 22D. Disse ændringer muliggør en bredere anvendelse af ADM, især i tilfælde, hvor de trufne beslutninger ikke har betydelige juridiske eller lignende væsentlige virkninger for enkeltpersoner.

ADM (Administrativ Datahåndtering), der har betydelige effekter, især når det drejer sig om data af særlige kategorier, er dog fortsat strengt reguleret. I disse tilfælde skal organisationer stadig sikre, at der er meningsfuld menneskelig overvågning, klar gennemsigtighed og passende sikkerhedsforanstaltninger på plads. ADM baseret på data af særlige kategorier vil generelt kræve enten udtrykkeligt samtykke eller skal opfylde specifikke betingelser fastsat i lovgivningen.

Smarte data og digitale ID'er

Loven baner vejen for sektorspecifikke "smarte dataordninger", der gør det muligt for forbrugere og små virksomheder at dele deres data sikkert og bærbart. Den etablerer også en lovpligtig tillidsramme for digitale verifikationstjenester (DVS) for at understøtte brugen af verificerede digitale identiteter på tværs af økonomien.

Disse bestemmelser er generelt muliggørende på nuværende tidspunkt, og yderligere detaljer vil blive givet via sekundær lovgivning.

Regulatorreform

ICO bliver til Informationskommissionen med udvidede undersøgelses- og håndhævelsesbeføjelser. Disse omfatter overbevisende vidneudsagn, påbud om tekniske revisioner og udstedelse af højere sanktioner for manglende overholdelse.

Nogle af disse nye beføjelser trådte i kraft to måneder efter kongelig stadfæstelse, mens andre vil blive indført over tid gennem sekundær lovgivning. Organisationer bør forvente et mere selvsikkert reguleringsmiljø og forberede sig i overensstemmelse hermed, så styring, dokumentation og interne processer er klar til revision.

Hvad står på spil for virksomheder

Mens nogle reformer forenkler compliance, for eksempel ved at reducere DSAR-byrderne eller præcisere brugen af legitim interesse, medfører andre øget regulatorisk kontrol og strengere sanktioner. Dette blandede billede betyder, at virksomheder ikke bør behandle loven som en lempelse af reglerne. I stedet er det en mulighed for at modernisere datastyring, reducere risiko og opbygge tillid hos kunder, partnere og regulatorer.

Tidslinje og faseopdelt udrulning

Loven blev i kraft i juni 2025, men ikke alle bestemmelser trådte i kraft med det samme. Regeringen har bekræftet en gradvis ikrafttrædelse med ændringer, der rulles ud over faser på cirka 2, 6 og 12 måneder. Ikrafttrædelsesforordning nr. 1 trådte i kraft den 20. august 2025 og dækker specifikke tekniske og lovgivningsmæssige bestemmelser.

De fleste af de væsentlige opdateringer til del 5 af loven, herunder ændringer af den britiske GDPR, databeskyttelsesloven fra 2018 og PECR, forventes at træde i kraft omkring seks måneder. Yderligere opdateringer vil følge gennem sekundær lovgivning og vejledning fra tilsynsmyndigheder.

Organisationer bør være opmærksomme på nye ikrafttrædelsesregler, overvåge ICO-kommunikation og planlægge deres compliance-aktiviteter i overensstemmelse med kommende deadlines.

Din 8-punkts handlingsplan

Tjek dine juridiske grundlag

Kortlæg, hvor de nye anerkendte legitime interesser gælder, og opdater dine privatlivsmeddelelser og RoPA'er, så de afspejler virkeligheden.

Genvurder dine globale datastrømme

Gennemgå overførselsmekanismerne i forhold til den nye "ikke væsentligt lavere" tærskel. Dokumentér dine risikovurderinger for overførsel, og hav et reservedokument klar til EU-data.

Forenkl DSAR-håndtering

Træn personalet i at anvende testen "rimelig og forholdsmæssig", og indbyg den nye stop-the-clock-proces til identitetskontrol eller afklaringer.

Ryd op i cookies og markedsføring

Opdater cookiebannere for undtagelser med lav risiko, gennemgå samtykkeprocesser, og bemærk, at PECR-bøder nu er i overensstemmelse med de britiske GDPR-niveauer. Velgørenhedsorganisationer: tjek, om den bløde tilmelding nu fungerer for dig.

Revider din ADM- og AI-brug

Identificer hvilke systemer, der tæller som væsentlig automatiseret beslutningstagning. Implementer meningsfuld menneskelig overvågning, indhent udtrykkeligt samtykke, hvor det er nødvendigt, og etabler dokumenterede sikkerhedsforanstaltninger.

Bliv klar til smart data

Se på, hvordan sektorspecifikke ordninger (som Open Banking) kan overføres til din branche, og om digitale verifikationstjenester kan blive en del af dine onboarding- eller kundeprocesser.

Styrk forvaltningen nu

Nu hvor den nye Informationskommission får beføjelser til at pålægge interviews, revisioner og bøder på GDPR-niveau for PECR, er det nu, det skal strammes politikker, beviser og uddannelse.

Bliv hængende

Hold øje med ikrafttrædelsesregler og ICO-vejledning, når de gradvise udrulninger træder i kraft over de næste 2, 6 og 12 måneder. Prioriter ændringer, der træder i kraft først.

Bottom Line

Data Use and Access Act 2025 er et vendepunkt for britisk dataforvaltning. Den skaber en balance mellem forenkling og ansvarlighed og giver fremsynede virksomheder mulighed for at omfavne innovation uden at gå på kompromis med tilliden. Tidlig forberedelse vil ikke kun reducere risikoen, men også hjælpe dig med at gribe de muligheder, som en smartere og klarere dataanvendelse kan bringe.

Rebecca Harper

Rebecca er ISMS.online Head of Content Marketing. Med over 12 år i informations- og cybersikkerhedsindustrien er Rebecca dedikeret til at uddanne, opbygge bevidsthed og styrke virksomheder til at nå mål for compliance, information og cybersikkerhed.

Læs mere fra Rebecca Harper

Cyber sikkerhed 4. November 2025

Hvordan integreret compliance transformerer risikostyring og effektivitet

På tværs af brancher ændrer samtalen om compliance sig. De regulatoriske krav stiger, cybertruslerne eskalerer, og interessenternes forventninger...

Rebecca Harper

Information Security 21 oktober 2025

Kunne ISO 42001 blive Storbritanniens De Facto AI-regulator?

Da Den Europæiske Union stemte igennem AI-loven i slutningen af 2024, skrev den historie som verdens første forsøg på at implementere en omfattende ...

Rebecca Harper

Cyber sikkerhed 14 oktober 2025

Mere end afkrydsningsfelter – Hvorfor standarder nu er en nødvendighed for virksomheder

Hver oktober afholdes Verdensstandarddagen med lidt fanfare. Måske er det fordi, den for mange fremkalder billeder af bureaukratisk papirarbejde, tørt...

Rebecca Harper