Alles wat jy moet weet oor die Wet op Datagebruik en Toegang

Deur Rebecca Harper • 22 September 2025

Die Verenigde Koninkryk se nuwe Wetsontwerp op Datagebruik en Toegang (DUAA) het op 19 Junie 2025 Koninklike Goedkeuring ontvang, wat 'n verfrissing van die land se wetgewing oor databeskerming en digitale ekonomie aandui. Die Wet, wat ontwerp is om innovasie te bevorder, vertroue in datagedrewe stelsels te versterk en nakoming te vereenvoudig, stel omvattende hervormings in beide die openbare en private sektore in.

Vir besighede kan die veranderinge sekere administratiewe laste verlig op gebiede soos versoeke vir toegang tot data (DSAR'e) en koekies, terwyl die standaard op ander gebiede verhoog word, insluitend deursigtigheid, bemarkingstoestemming en afdwinging. Hierdie blog verduidelik wat verander en bied praktiese stappe om organisasies te help voorberei.

Waar DUAA sit: Dit verbeter, nie vervang nie

Die Wet vervang nie die Britse AVG of die Wet op Databeskerming 2018 nie; dit wysig en vul eerder albei aan. Dit werk ook belangrike bepalings van die Regulasies vir Privaatheid en Elektroniese Kommunikasie (PECR) op, veral rakende toestemming vir koekies en elektroniese bemarking.

Saamgevat is hierdie hervormings daarop gemik om 'n meer "besigheidsvriendelike en innovasie-gereed datastelsel" te skep terwyl die kernbeginsels van databeskerming vir individue behoue bly. Maar die wisselwerking tussen hierdie raamwerke beteken dat organisasies die nuwe landskap versigtig sal moet navigeer.

Belangrike veranderinge wat besighede moet weet

Erkende Wettige Belange

Die Wet stel 'n nuwe konsep bekend: "erkende wettige belange". Dit is spesifieke doeleindes waarvoor organisasies persoonlike data kan verwerk sonder om 'n volledige wettige belangebepaling (BBE) uit te voer. Voorbeelde hiervan sluit in die voorkoming van misdaad, die beskerming van nasionale veiligheid, die handhawing van openbare veiligheid, die reaksie op noodgevalle, die beskerming van kwesbare individue, en die openbaarmaking van inligting aan 'n persoon wat 'n taak in openbare belang uitvoer.

Afgesien daarvan stel die Wet ook voorbeelde van gewone wettige belange uiteen wat steeds die standaard driedelige toets sal vereis: doel, noodsaaklikheid en 'n balanseringstoets met aangetekende redenasie, wat aktiwiteite soos direkte bemarking, intragroepadministrasie en netwerk- of inligtingsekuriteit insluit.

Die slotsom hier is dat hoewel dit die papierwerk vir sommige tipes datagebruik verminder, dit nie die vereiste om die regte van datasubjekte te respekteer, verwyder nie. Dit is steeds noodsaaklik om te verseker dat verwerking nodig en proporsioneel is.

Internasionale data-oordragte

Die drempel vir internasionale data-oordragte is verlaag. Eerder as om "wesenlik gelykstaande" beskerming as die Britse AVG te vereis, moet organisasies nou verseker dat beskerming "nie wesenlik laer" is nie.

Dit bied besighede meer buigsaamheid in globale datavloei, veral wanneer hulle met vennote in lande werk wat nie deur Britse toereikendheidsregulasies gedek word nie. Tog plaas dit ook meer verantwoordelikheid op die data-uitvoerder om beskermings te assesseer.

Uitvoerders moet 'n redelike en proporsionele benadering volg, met inagneming van die aard van die data, die bestemming en die gepaardgaande risiko's. Indien plaaslike wette tekort skiet, sal u addisionele voorsorgmaatreëls moet implementeer, soos enkripsie, toegangsbeheer en robuuste kontrakvoorwaardes, om te verseker dat die data beskerm bly volgens 'n standaard wat steeds aanvaarbaar is onder Britse wetgewing.

Dit is ook die moeite werd om daarop te let dat die EU die VK se toereikendheidstatus tydelik verleng het tot 27 Desember 2025, wat toelaat dat data voortgaan om van die EU na die VK te vloei terwyl die Europese Kommissie sy hersiening voltooi. Besighede wat EU-data ontvang, moet ontwikkelings monitor en kontraktuele terugvalle oorweeg om ontwrigting te vermy.

Versoeke om Toegang tot Data Onderwerpe (DSAR'e)

Die nuwe wetgewing stel 'n meer sakevriendelike standaard vir DSAR's bekend, wat vereis dat soektogte "redelik en proporsioneel" moet wees. Dit is 'n welkome verandering vir organisasies wat voorheen gesukkel het met tydrowende of oormatige versoeke. Dit stel besighede in staat om hul pogings te fokus op betekenisvolle reaksies, eerder as om elke moontlike databron na te jaag.

'n Nuwe stop-die-klok-bepaling is ook ingestel. Indien u die versoek moet verduidelik, die versoeker se identiteit moet verifieer, of 'n fooi moet aanvra (in gevalle van klaarblyklik ongegronde of oormatige versoeke), kan die eenmaande-responstydperk onderbreek word totdat u die nodige inligting ontvang, wat asemhalingsruimte bied om komplekse of dubbelsinnige versoeke effektief te bestuur.

Die kernverpligtinge bly egter steeds van krag. Besighede moet steeds sonder onnodige vertraging reageer en duidelike, toeganklike inligting aan datasubjekte verskaf, en ongeregverdigde vertragings sal steeds voldoeningsrisiko's inhou.

Koekies en Bemarking (PECR)

Sekere tipes koekies, soos dié wat vir diensverbetering of gehoormeting gebruik word, vereis moontlik nie meer toestemming nie, mits hulle duidelik verduidelik word en gebruikers toepaslike inligting en beheer kry.

Terselfdertyd word die afdwinging rondom elektroniese bemarking verskerp. Boetes vir PECR-oortredings is in lyn gebring met die Britse AVG, met strawwe van tot £17.5 miljoen of 4% van die wêreldwye omset. Dit beklemtoon die noodsaaklikheid vir besighede om hul toestemmingspraktyke te hersien, koekiebaniere en privaatheidskennisgewings op te dateer, en robuuste interne dokumentasie vir bemarkingsaktiwiteite te verseker.

Outomatiese Besluitneming en KI

Die Wet stel meer buigsaamheid bekend vir organisasies wat KI en outomatiese besluitneming (ADM) gebruik, en vervang Artikel 22 van die Britse AVG met 'n nuwe stel bepalings: Artikels 22A tot 22D. Hierdie veranderinge maak 'n breër toepassing van ADM moontlik, veral in gevalle waar die besluite wat geneem word nie beduidende regs- of soortgelyke wesenlike gevolge vir individue het nie.

ADM wat wel beduidende effekte veroorsaak, veral wanneer dit spesiale kategorie data behels, bly egter streng gereguleer. In hierdie gevalle moet organisasies steeds verseker dat daar betekenisvolle menslike toesig, duidelike deursigtigheid en toepaslike waarborge in plek is. ADM gebaseer op spesiale kategorie data sal oor die algemeen óf eksplisiete toestemming vereis óf moet aan spesifieke voorwaardes voldoen wat in die wetgewing uiteengesit word.

Slimdata en digitale ID's

Die Wet baan die weg vir sektorspesifieke "Slimdataskemas" wat verbruikers en klein besighede in staat stel om hul data veilig en draagbaar te deel. Dit vestig ook 'n statutêre vertrouensraamwerk vir Digitale Verifikasiedienste (DVS) om die gebruik van geverifieerde digitale identiteite regoor die ekonomie te ondersteun.

Hierdie bepalings is op hierdie stadium breedweg bemagtigend, met verdere besonderhede wat via sekondêre wetgewing verskaf sal word.

Reguleerderhervorming

Die ICO sal die Inligtingskommissie word, met uitgebreide ondersoek- en afdwingingsbevoegdhede. Dit sluit in dwingende getuienis, die verpligting van tegniese oudits en die oplê van hoër strawwe vir nie-nakoming.

Sommige van hierdie nuwe bevoegdhede het twee maande na Koninklike Goedkeuring in werking getree, terwyl ander mettertyd deur middel van sekondêre wetgewing ingefaseer sal word. Organisasies moet 'n meer assertiewe regulatoriese omgewing verwag en dienooreenkomstig voorberei, om te verseker dat bestuur, dokumentasie en interne prosesse ouditgereed is.

Wat is op die spel vir besighede

Terwyl sommige hervormings voldoening vereenvoudig, byvoorbeeld deur DSAR-laste te verminder of die gebruik van wettige belang te verduidelik, bring ander verhoogde regulatoriese ondersoek en swaarder strawwe mee. Hierdie gemengde prentjie beteken dat besighede die Wet nie as 'n verslapping van reëls moet beskou nie. In plaas daarvan is dit 'n geleentheid om databestuur te moderniseer, risiko te verminder en vertroue met kliënte, vennote en reguleerders te bou.

Tydlyn en gefaseerde uitrol

Die Wet het in Junie 2025 wet geword, maar nie alle bepalings het onmiddellik in werking getree nie. Die regering het 'n gefaseerde inwerkingtreding bevestig, met veranderinge wat oor fases van ongeveer 2, 6 en 12 maande uitgerol word. Die Inwerkingtredingsregulasies nr. 1 het op 20 Augustus 2025 in werking getree en spesifieke tegniese en regulatoriese bepalings dek.

Die meeste van die beduidende opdaterings aan Deel 5 van die Wet, insluitend veranderinge aan die Britse AVG, die Wet op Databeskerming 2018 en die PECR, sal na verwagting rondom die ses maande merk in werking tree. Verdere opdaterings sal volg deur middel van sekondêre wetgewing en reguleerderriglyne.

Organisasies moet op hoogte bly van nuwe aanvangsregulasies, ICO-kommunikasie monitor en hul voldoeningsaktiwiteit beplan in lyn met komende sperdatums.

Jou 8-punt aksieplan

Gaan jou regsbasisse na

Beplan waar die nuwe erkende wettige belange van toepassing is en werk jou privaatheidskennisgewings en RoPA's op sodat hulle die werklikheid weerspieël.

Hersien jou globale datavloei

Hersien oordragmeganismes teen die nuwe "nie wesenlik laer" drempel. Dokumenteer u oordragrisikobepalings en hou 'n noodoplossing gereed vir EU-data.

Vereenvoudig DSAR-hantering

Lei personeel op om die "redelike en proporsionele" toets toe te pas, en bou die nuwe stop-die-klok-proses vir identiteitskontroles of verduidelikings in.

Ruim koekies en bemarking op

Verfris koekiebaniere vir lae-risiko-vrystellings, hersien toestemmingsprosesse en let op dat PECR-boetes nou in lyn is met Britse GDPR-vlakke. Liefdadigheidsorganisasies: kyk of die sagte intekening nou vir jou werk.

Oudit jou ADM- en KI-gebruik

Identifiseer watter stelsels as beduidende outomatiese besluitneming tel. Implementeer betekenisvolle menslike toesig, verkry eksplisiete toestemming waar nodig, en stel gedokumenteerde voorsorgmaatreëls in.

Maak jou slim data-gereed

Kyk hoe sektorspesifieke skemas (soos Open Banking) na jou bedryf kan vertaal, en of digitale verifikasiedienste deel van jou aanboord- of kliëntprosesse kan word.

Versterk nou die bestuur

Met die nuwe Inligtingskommissie wat magte kry om onderhoude, oudits en boetes op GDPR-vlak vir PECR af te dwing, is dit die oomblik om beleide, bewyse en opleiding te verskerp.

Bly ingeskakel

Wees op die uitkyk vir die aanvangsregulasies en ICO-riglyne soos gefaseerde uitrol oor die volgende 2, 6 en 12 maande plaasvind. Prioritiseer veranderinge wat eerste in werking tree.

Bottom Line

Die Wet op Datagebruik en Toegang 2025 is 'n keerpunt vir die Britse databestuur. Dit vind 'n balans tussen vereenvoudiging en verantwoordbaarheid, en bied vooruitdenkende besighede die geleentheid om innovasie te omarm sonder om vertroue in die gedrang te bring. Vroeë voorbereiding sal nie net risiko verminder nie, maar jou ook help om die geleenthede te benut wat slimmer, duideliker datagebruik kan bring.

Rebecca Harper

Rebecca is die ISMS.online-hoof van inhoudbemarking. Met meer as 12 jaar in die inligting- en kuberveiligheidsbedryf, is Rebecca toegewyd aan die opvoeding, bewusmaking en bemagtiging van besighede om voldoenings-, inligting- en kuberveiligheidsbestuursdoelwitte te bereik.

Lees meer van Rebecca Harper

cyber Security 4 November 2025

Hoe Geïntegreerde Nakoming Risikobestuur en Doeltreffendheid Transformeer

Oor verskeie industrieë heen verander die nakomingsgesprek. Regulatoriese eise styg, kuberbedreigings eskaleer, en belanghebberverwagtinge...

Rebecca Harper

Informasiesekuriteit 21 Oktober 2025

kan iso 42001 die VK se de facto ai-reguleerder-banier word

Kan ISO 42001 die VK se De Facto AI-reguleerder word?

Toe die Europese Unie die KI-wet in die laaste deel van 2024 deurgestem het, het dit geskiedenis gemaak as die wêreld se eerste poging om omvattend ...

Rebecca Harper

cyber Security 14 Oktober 2025