När Storbritannien introducerade Lagen om dataanvändning och åtkomst (DUAA), fokuserade mycket av den tidiga kommentaren på den skillnad som den införde. Var detta en uppmjukning av Storbritanniens dataskyddssystem? Ett avsiktligt avsteg från Bryssel? En tillväxtfrämjande omkalibrering? Men all denna inramning missar den mer betydelsefulla förändringen. 

DUAA urvattnar inte ansvarsskyldigheten. Den omfördelar den och omvandlar föreskrivande tolkning till styrning som tydligt kan påvisas. Genom att förfina erkända legitima intressen, omkalibrera registrerades rättigheter till åtkomst, justera bestämmelser om automatiserat beslutsfattande och stärka verkställigheten enligt PECR, minskar lagen stelheten inom vissa områden samtidigt som den ökar förväntningarna på att organisationer kan motivera hur de utövar sitt utrymme för skönsmässig bedömning. 

En sak som är helt klar är att regelbördan inte har försvunnit. Den har faktiskt blivit mer strukturell. De organisationer som kommer att navigera DUAA framgångsrikt är inte de som uppdaterar policyer snabbast. Det kommer att vara de som kan visa hur beslut fattas, granskas och förbättras över tid, och gör det konsekvent. 

Proportionalitet enligt DUAA är inte mildhet; det är disciplin 

Ett av de centrala teman i DUAA är proportionalitet. Det innebär att erkända legitima intressen kan åberopas utan en fullständig avvägning i definierade scenarier. Begäran om tillgång till uppgifter kan avslås eller modereras om de är "besvärliga eller överdrivna". Och reglerna för automatiserat beslutsfattande har förfinats. 

Men proportionalitet är inte en sänkning av ribban. Till exempel, om en organisation förlitar sig på erkända legitima intressen, förväntar sig tillsynsmyndigheten fortfarande att se: 

  • Tydlig identifiering av behandlingsändamålet 
  • Riskanalys som återspeglar påverkan på individer 
  • Hänsyn till skyddsåtgärder 
  • Dokumentation av beslutsfattande 
  • Bevis på konsekvent tillämpning 

På samma sätt skapar reformerna av hanteringen av begäran om åtkomst till uppgifter från registrerade inte utrymme för handlingsutrymme i sig. De kräver strukturerade kriterier för att bedöma om det är överdrivet, definierade eskaleringsvägar och dokumenterade skäl. I praktiken flyttar detta efterlevnadsbördan från formelbaserade tester till påvisbar styrningsmognad. 

Jag tycker också att det är värt att nämna att ICO:s tillämpningstrend på senare tid redan har återspeglat denna förändring. Utredningar undersöker i allt högre grad systematiska kontrollfel, otillräcklig tillsyn och otillräcklig dokumentation, snarare än bara huruvida en specifik klausul tekniskt sett bröts. I den meningen påskyndar DUAA denna fokusförskjutning. 

Lagen avslöjar fragmenterad styrning 

På en mycket grundläggande nivå omfattar DUAA informationssäkerhet, integritetshantering, efterlevnad av marknadsföringsregler, AI-styrning och internationella dataöverföringsfunktioner. 

I många organisationer förblir dessa domäner strukturellt separerade. 

Säkerhet kan drivas inom ramen för ett tekniskt riskramverk. Integritet kan vara policystyrd och juridiskt centrerad. Marknadsföring kan vara kommersiellt driven. AI-implementering kan ske inom innovations- eller produktteam. Leverantörsstyrning kan vara upphandlingsstyrd. DUAA respekterar inte dessa interna gränser. 

Ett AI-drivet marknadsföringsverktyg som distribueras via en USA-baserad processor kan till exempel samtidigt engagera: 

  • Säkerhetskrav för behandling 
  • Bedömningar av laglig grund 
  • Skyddsåtgärder för automatiserat beslutsfattande 
  • PECR-marknadsföringsregler 
  • Hantering av internationell överföringsrisk 

Om varje element styrs på olika sätt och dokumenteras inkonsekvent, försvagas en organisations förmåga att försvara beslutsfattandet. För att vara tydlig, lagen föreskriver inte uttryckligen integration. Men dess praktiska effekt gör det svårare att upprätthålla fragmenterad styrning. Det är därför det är tydligt för de flesta att ledningssystem är viktiga i denna miljö. 

Varför internationella standarder blir strategiska i en inhemsk reform 

Medan DUAA endast ändrar den brittiska GDPR och PECR, är brittiska företag fortfarande exponerade för EU:s GDPR, sektorsreglering och ny AI-lagstiftning när de handlar internationellt. 

I det sammanhanget fyller internationella standarder två viktiga funktioner: 

  1. De skapar ett gemensamt styrningsspråk för juridiska, tekniska och ledningsgrupper. 
  1. De tillhandahåller en granskbar representation av strukturerad riskhantering i avsaknad av föreskrivande lagstadgade detaljer. 

Så det är verkligen rimligt att anta att även om den integrerade tillämpningen av ISO 27001 , ISO 27701 och ISO 42001 ersätter inte regelefterlevnad, den operationaliserar den. 

Där DUAA förväntar sig proportionerlig riskbedömning definierar dessa standarder hur risk identifieras, utvärderas, behandlas och granskas. Där lagen stärker verkställigheten integrerar de granskningsbarhet och korrigerande åtgärder. Tillsammans flyttar de styrningen från reaktiv tolkning till strukturerad, proaktiv kontroll. 

ISO 27001: Att förvandla ansvarsskyldighet till något konkret 

ISO 27001, informationssäkerhetsstandarden, ger ett ramverk för att uppnå tydlighet. Den kräver att organisationer bygger ett ledningssystem för informationssäkerhet kring: 

  • Att förstå deras sammanhang och definiera omfattningen korrekt 
  • En formell, försvarbar riskbedömningsmetodik 
  • Tydlig planering för riskhantering 
  • Dokumenterade kontrollbeslut 
  • Internrevision och ledningsgranskning 
  • Kontinuerlig förbättring 

På pappret låter det procedurmässigt. I praktiken besvarar det en betydligt mer obekväm fråga: vem bär risken, och hur vet vi det? 

Och under DUAA blir den frågan skarpare. 

Säkerhet för behandling 

Kravet att implementera ”lämpliga tekniska och organisatoriska åtgärder” har inte försvunnit. Men ”lämplig” kan inte betyda ”vad som kändes rimligt vid den tidpunkten”. 

ISO 27001 kräver att organisationer definierar vad som är lämpligt för deras verksamhet, baserat på dokumenterad riskanalys, inte subjektiv bedömning eller historisk vana. 

Incidenthantering och intrångshantering 

Tillsynsmyndigheter fokuserar inte längre enbart på om ett dataintrång inträffade. De tittar på hur förberedd organisationen var. 

  • Testades svaret? 
  • Dokumenterades det? 
  • Förstod ledningen sin roll? 

En strukturerad, inövad incidentprocess visar kontroll. En improviserad process visar exponering. 

Tillämpning och granskningsbarhet 

Med starkare befogenheter för att verkställa PECR och utvecklande granskning måste styrningen vara synlig. Regelbundna internrevisioner och ledningsgranskningar visar att efterlevnad inte är statisk. Den övervakas och utmanas aktivt. Det är viktigt när tillsynsmyndigheter avgör om ett problem återspeglar otur eller svag tillsyn. 

Och det är här ISO 27001 går bortom driftshygien. 

Det integrerar ledarskapets ansvarsskyldighet. Enligt DUAA kommer styrningsmisslyckanden inte att behandlas som tekniska försummelser. De kommer att ses som ett organisatoriskt fel. 

ISO 27701: Att göra integritetsreformen operativ 

Om ISO 27001 skapar strukturell ansvarsskyldighet, så översätter ISO 27701 integritet till den dagliga praktiken. Den utökar säkerhetshanteringssystemet till ett informationshanteringssystem för integritet, vilket anpassar integritetsskyldigheter till samma risk-, dokumentations- och tillsynsstruktur. Den anpassningen är avgörande under DUAA-reformen. 

Erkända legitima intressen 

Även där ett formellt avvägningstest inte krävs måste organisationer fortfarande visa att de noggrant har tänkt igenom syfte, proportionalitet och skyddsåtgärder. 

ISO 27701 formaliserar hur lagliga grunder identifieras, registreras och granskas. Den tar bort tvetydigheter från beslut som annars skulle kunna fattas informellt. 

DSAR-reformen 

Att moderera eller avvisa begäranden om tillgång till uppgifter kräver omdöme, och omdöme kräver skyddsräcken. 

ISO 27701 anger definierade procedurer, eskaleringsvägar och dokumentationskrav. Det gör diskretion till en försvarbar process. 

Internationella överföringar 

Riskbedömningar för överföringar, tillsyn av processorer och avtalsenliga skyddsåtgärder får inte plats enbart inom ramen för lagstiftningen. 

ISO 27701 integrerar dem i leverantörsstyrning och operativa arbetsflöden, vilket minskar fragmenteringen mellan juridiska, inköps- och säkerhetsteam. 

Transparens och ansvar 

Integritetsmeddelanden och register över behandling är inte engångsuppdateringar. De blir en del av ett levande hanteringssystem. 

I praktiken införlivar ISO 27701 den disciplin som krävs för att använda DUAA-flexibilitet ansvarsfullt, utan att hamna i inkonsekvens. 

ISO 42001: Styrning av AI utan att behandla det som ett experiment 

Som jag kort nämnde tidigare uppdaterar DUAA även regler för automatiserat beslutsfattande. I vissa sammanhang ökar det flexibiliteten. Men flexibilitet utan tillsyn slutar sällan väl. ISO 42001 introducerar ett AI-ledningssystem som bygger på: 

  • AI-specifika riskbedömningar integrerade i företagsrisk 
  • Definierad mänsklig tillsyn 
  • Tydlig dokumentation av systemets syfte, datainmatning och beslutslogik 
  • Transparenskontroller 
  • Kontinuerlig övervakning och förbättring 

I takt med att AI expanderar inom olika sektorer kommer tillsynsmyndigheter inte bara att fråga sig om systemen fungerar tekniskt. De kommer att fråga sig om organisationer kan visa meningsfull tillsyn. ISO 42001 besvarar den frågan genom att integrera AI-styrning i befintliga säkerhets- och integritetssystem, snarare än att behandla det som ett innovationsprojekt. 

Den integrerade fördelen: En riskmodell, en evidensbas 

Loopens strategiska kraft ligger i integrationen. Tillsammans skapar ISO 27001, 27701 och 42001: 

  • En enhetlig riskmetodik för säkerhet, integritet och AI 
  • Konsekventa dokumentationsstandarder 
  • Delad ledningsövervakning 
  • En konsoliderad internrevisionscykel 
  • Ett enda ramverk för korrigerande åtgärder 

Detta är viktigt eftersom DUAA inte inför isolerade skyldigheter. Det inför handlingsutrymme över dessa sammankopplade områden. 

Ett integrerat ledningssystem minskar dubbelarbete, förhindrar inkonsekvent beslutsfattande och säkerställer att proportionalitet tillämpas genom strukturerad analys snarare än informell bedömning. För organisationer innebär det att när tillsynsmyndigheter begär bevis, vilket de gör i allt högre grad, kan företag som använder denna process tillhandahålla väl dokumenterade riskbedömningar, behandlingsbeslut, tillsynsregister och granskningsresultat i en sammanhängande berättelse. Och det är ofta skillnaden mellan granskning och sanktioner. 

Från regelefterlevnad till organisatorisk motståndskraft 

DUAA kommer inte att vara den sista reformen av brittisk datalagstiftning. Riktlinjerna kommer att utvecklas. Tillämpningsstrukturen kommer att mogna. AI-tillsynen kommer att intensifieras. Gränsöverskridande komplexiteter kommer att bestå. Organisationer som behandlar varje utveckling som en separat rättslig justering kommer att fortsätta att drabbas av upprepade driftstörningar. 

De som använder integrerade ledningssystem kommer att absorbera förändringar stegvis. Riskregister kommer att uppdateras. Kontroller förfinas. Tillsyn omkalibreras. Bevis bevaras. Skillnaden är strukturell. 

DUAA signalerar en regelmiljö som definieras mindre av föreskrivande instruktioner och mer av förväntan om disciplinerat omdöme. I den miljön blir styrningsmognad en konkurrensfördel. ISO 27001-, 27701- och 42001-loopen förenklar inte regleringen. Den gör den hanterbar. 

Utöka din kunskap

Blogg: Varför tillsynsmyndigheter och investerare förväntar sig att företag ska hantera en trippelrisk

Blogg: Compliance-eran: Hur reglering, teknologi och risk omformar affärsnormer

Webinar: ISO 27001 och ISO 27701 i praktiken: Insikter om vår övervakningsrevision