Storbritannias nye lov om databruk og -tilgang (DUAA) fikk kongelig sanksjon 19. juni 2025, og markerer en fornyelse av landets lovgivning om databeskyttelse og digital økonomi. Loven er utformet for å fremme innovasjon, øke tilliten til datadrevne systemer og forenkle samsvar, og introduserer omfattende reformer i både offentlig og privat sektor. 

For bedrifter kan endringene lette visse administrative byrder på områder som forespørsler om innsyn fra registrerte (DSAR-er) og informasjonskapsler, samtidig som de hever standarden på andre områder, inkludert åpenhet, samtykke til markedsføring og håndheving. Denne bloggen forklarer hva som endres og tilbyr praktiske trinn for å hjelpe organisasjoner med å forberede seg. 

Hvor DUAA sitter: Den endrer, ikke erstatter 

Loven erstatter ikke den britiske GDPR eller databeskyttelsesloven av 2018; i stedet endrer og supplerer den begge. Den oppdaterer også viktige bestemmelser i forskriftene om personvern og elektronisk kommunikasjon (PECR), spesielt rundt samtykke til informasjonskapsler og elektronisk markedsføring. 

Samlet sett tar disse reformene sikte på å skape et mer «bedriftsvennlig og innovasjonsklart datasystem», samtidig som kjerneprinsippene for databeskyttelse for enkeltpersoner bevares. Men samspillet mellom disse rammeverkene betyr at organisasjoner må navigere nøye i det nye landskapet. 

Viktige endringer bedrifter trenger å vite 

Anerkjente legitime interesser

Loven introduserer et nytt konsept: «anerkjente legitime interesser». Dette er spesifikke formål som organisasjoner kan behandle personopplysninger for uten å måtte gjennomføre en fullstendig vurdering av legitim interesse. Eksempler her inkluderer å forebygge kriminalitet, ivareta nasjonal sikkerhet, opprettholde offentlig sikkerhet, reagere på nødsituasjoner, beskytte sårbare individer og utlevere informasjon til en person som utfører en oppgave av offentlig interesse.  

Separat fra dette angir loven også eksempler på vanlige legitime interesser som fortsatt vil kreve standard tredelt test: formål, nødvendighet og en avveiningstest med registrert begrunnelse, som inkluderer aktiviteter som direkte markedsføring, intern administrasjon og nettverks- eller informasjonssikkerhet. 

Konklusjonen her er at selv om dette reduserer papirarbeidet for noen typer databruk, fjerner det ikke kravet om å respektere de registrertes rettigheter. Det er fortsatt viktig å sikre at behandlingen er nødvendig og forholdsmessig. 

Internasjonale dataoverføringer

Terskelen for internasjonale dataoverføringer er senket. I stedet for å kreve «i hovedsak tilsvarende» beskyttelse som den britiske GDPR, må organisasjoner nå sørge for at beskyttelsen «ikke er vesentlig lavere». 

Dette gir bedrifter mer fleksibilitet i globale dataflyter, spesielt når de samarbeider med partnere i land som ikke er dekket av britiske tilstrekkelighetsregler. Likevel legger det også mer ansvar på dataeksportøren for å vurdere beskyttelse. 

Eksportører må benytte en rimelig og forholdsmessig tilnærming, tatt hensyn til dataenes art, destinasjonen og de tilhørende risikoene. Hvis lokale lover ikke oppfyller kravene, må du implementere ytterligere sikkerhetstiltak, som kryptering, tilgangskontroller og robuste kontraktsvilkår, for å sikre at dataene forblir beskyttet i henhold til en standard som fortsatt er akseptabel i henhold til britisk lov. 

Det er også verdt å merke seg at EU midlertidig har forlenget Storbritannias tilstrekkelighetsstatus til 27. desember 2025, slik at data kan fortsette å flyte fra EU til Storbritannia mens EU-kommisjonen fullfører sin gjennomgang. Bedrifter som mottar EU-data bør overvåke utviklingen og vurdere kontraktsmessige reserveløsninger for å unngå avbrudd. 

Forespørsler om innsyn fra registrerte (DSAR-er)

Den nye lovgivningen introduserer en mer forretningsvennlig standard for DSAR-er, som krever at søk skal være «rimelige og proporsjonale». Dette er en velkommen endring for organisasjoner som tidligere slet med tidkrevende eller overdrevne forespørsler. Den lar bedrifter fokusere innsatsen på å svare meningsfullt, i stedet for å jage ned alle mulige datakilder. 

En ny bestemmelse om stoppklokken er også innført. Hvis du trenger å avklare forespørselen, bekrefte anmoderens identitet eller be om et gebyr (i tilfeller av åpenbart grunnløse eller overdrevne forespørsler), kan svarfristen på én måned settes på pause inntil du mottar nødvendig informasjon, noe som gir litt rom for å håndtere komplekse eller tvetydige forespørsler effektivt. 

Kjerneforpliktelsene gjenstår imidlertid. Bedrifter må fortsatt reagere uten unødig forsinkelse og gi tydelig og tilgjengelig informasjon til de registrerte, og uberettigede forsinkelser vil fortsatt medføre samsvarsrisikoer. 

Informasjonskapsler og markedsføring (PECR)

Enkelte typer informasjonskapsler, som de som brukes til tjenesteforbedring eller målgruppemåling, krever kanskje ikke lenger samtykke, forutsatt at de er tydelig forklart og brukerne får passende informasjon og kontroll.  

Samtidig skjerpes håndhevingen rundt elektronisk markedsføring. Bøter for brudd på PECR-regler er brakt i samsvar med den britiske GDPR, med straffer på opptil 17.5 millioner pund eller 4 % av den globale omsetningen. Dette fremhever behovet for at bedrifter gjennomgår sine samtykkepraksiser, oppdaterer informasjonskapselbannere og personvernerklæringer, og sørger for robust intern dokumentasjon for markedsføringsaktiviteter. 

Automatisert beslutningstaking og AI

Loven innfører mer fleksibilitet for organisasjoner som bruker AI og automatisert beslutningstaking (ADM), og erstatter artikkel 22 i den britiske GDPR med et nytt sett med bestemmelser: artikkel 22A til 22D. Disse endringene muliggjør en bredere anvendelse av ADM, spesielt i tilfeller der beslutningene som tas ikke har betydelige juridiske eller lignende vesentlige virkninger for enkeltpersoner. 

Imidlertid er ADM som gir betydelige effekter, spesielt når det gjelder spesialkategoridata, fortsatt strengt regulert. I disse tilfellene må organisasjoner fortsatt sørge for at det er meningsfull menneskelig tilsyn, tydelig åpenhet og passende sikkerhetstiltak på plass. ADM basert på spesialkategoridata vil vanligvis kreve enten eksplisitt samtykke eller må oppfylle spesifikke vilkår fastsatt i lovgivningen. 

Smarte data og digitale ID-er

Loven baner vei for sektorspesifikke «smarte dataordninger» som gjør det mulig for forbrukere og små bedrifter å dele dataene sine sikkert og bærbart. Den etablerer også et lovpålagt tillitsrammeverk for digitale verifiseringstjenester (DVS) for å støtte bruken av verifiserte digitale identiteter på tvers av økonomien. 

Disse bestemmelsene er i stor grad muliggjørende på dette stadiet, med ytterligere detaljer som vil bli gitt via sekundærlovgivning. 

Regulatorreform

ICO vil bli Informasjonskommisjonen, med utvidede etterforsknings- og håndhevingsmyndigheter. Disse inkluderer overbevisende vitneforklaringer, påbud om tekniske revisjoner og strengere straffer for manglende overholdelse.  

Noen av disse nye fullmaktene trådte i kraft to måneder etter kongelig sanksjon, mens andre vil bli faset inn over tid gjennom sekundærlovgivning. Organisasjoner bør forvente et mer selvsikkert regulatorisk miljø og forberede seg deretter, slik at styring, dokumentasjon og interne prosesser er revisjonsklare. 

Hva står på spill for bedrifter 

Mens noen reformer forenkler etterlevelse, for eksempel ved å redusere byrdene ved DSAR eller tydeliggjøre bruken av legitim interesse, medfører andre økt regulatorisk gransking og strengere straffer. Dette blandede bildet betyr at bedrifter ikke bør behandle loven som en oppmykning av regler. I stedet er det en mulighet til å modernisere datastyring, redusere risiko og bygge tillit hos kunder, partnere og regulatorer. 

Tidslinje og faseinndelt utrulling 

Loven ble i kraft i juni 2025, men ikke alle bestemmelsene trådte i kraft umiddelbart. Regjeringen har bekreftet en trinnvis ikrafttredelse, med endringer som rulles ut over faser på omtrent 2, 6 og 12 måneder. Ikrafttredelsesforskrift nr. 1 trådte i kraft 20. august 2025 og dekker spesifikke tekniske og regulatoriske bestemmelser. 

De fleste av de viktigste oppdateringene av del 5 av loven, inkludert endringer i den britiske GDPR, personvernloven av 2018 og PECR, forventes å tre i kraft rundt seks måneder. Ytterligere oppdateringer vil følge gjennom sekundærlovgivning og veiledning fra regulatorer. 

Organisasjoner bør holde seg oppmerksomme på nye ikrafttredelsesforskrifter, overvåke ICO-kommunikasjon og planlegge sin compliance-aktivitet i tråd med kommende frister. 

Din 8-punkts handlingsplan 

Sjekk ditt juridiske grunnlag 

  • Kartlegg hvor de nye anerkjente legitime interessene gjelder, og oppdater personvernerklæringene og RoPA-ene dine slik at de gjenspeiler virkeligheten. 

Vurder de globale dataflytene dine på nytt 

  • Gjennomgå overføringsmekanismene opp mot den nye terskelen «ikke vesentlig lavere». Dokumenter risikovurderingene for overføringer og ha en reserveløsning klar for EU-data. 

Forenkle DSAR-håndtering 

  • Opplære ansatte i å anvende «rimelig og proporsjonal»-testen, og bygge inn den nye «klokkestopp»-prosessen for identitetskontroller eller avklaringer. 

Rydd opp i informasjonskapsler og markedsføring 

  • Oppdater informasjonskapselbannere for unntak med lav risiko, se på samtykkeprosesser på nytt, og merk at PECR-bøter nå er i samsvar med britiske GDPR-nivåer. Veldedige organisasjoner: sjekk om den myke opt-in nå fungerer for deg. 

Revider ADM- og AI-bruken din 

  • Identifiser hvilke systemer som teller som vesentlig automatisert beslutningstaking. Implementer meningsfull menneskelig tilsyn, innhent eksplisitt samtykke der det er nødvendig, og etabler dokumenterte sikkerhetstiltak. 

Gjør deg klar for smart data 

  • Se på hvordan sektorspesifikke ordninger (som Open Banking) kan oversettes til din bransje, og om digitale verifiseringstjenester kan bli en del av onboarding- eller kundeprosessene dine. 

Styrk styringen nå 

  • Nå som den nye informasjonskommisjonen får fullmakt til å pålegge intervjuer, revisjoner og bøter på GDPR-nivå for PECR, er det nå du må stramme inn retningslinjer, bevis og opplæring. 

Følg med 

  • Følg med på ikrafttredelsesforskrifter og ICO-veiledning når trinnvise utrullinger trer i kraft de neste 2, 6 og 12 månedene. Prioriter endringer som trer i kraft først. 

Bottom Line 

Data Use and Access Act 2025 er et vendepunkt for britisk datastyring. Den finner en balanse mellom forenkling og ansvarlighet, og gir fremtidsrettede bedrifter muligheten til å omfavne innovasjon uten å gå på akkord med tilliten. Tidlig forberedelse vil ikke bare redusere risiko, men også hjelpe deg med å gripe mulighetene som smartere og tydeligere databruk kan gi.