Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Vores arbejdsfelt er bredt og varieret, og det spænder fra at vejlede og rådgive til at behandle klagesager (som også er en del af Datatilsynets tilsynsaktiviteter) og ansøgninger om tilladelse til at behandle personoplysninger, ligesom vi også hvert år gennemfører forskellige andre typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også aktivt i bl.a. det fælles europæiske samarbejde om databeskyttelse.
I teksten nedenfor kan du læse om, hvilke områder Datatilsynet særligt vil fokusere på i 2026, når det gælder de tilsynsaktiviteter, vi selv beslutter at iværksætte. Der er ved fastlæggelsen af disse områder taget i betragtning, at Datatilsynet løbende igennem året også tager sager op af egen drift på baggrund af klager og andet input.
Overvågning gennem nye teknologier
Datatilsynet sætter i år gennem flere målrettede tilsyn navnlig fokus på regelefterlevelsen, når dataansvarlige og databehandlere anvender nye teknologier til overvågning og kontrol.
Kunstig intelligens (AI) til overvågning og kontrol af borgere i pleje
Udviklingen og udbredelsen af kunstig intelligens er fortsat i stor vækst, og både den offentlige og private sektor tager den nye teknologi til sig. Teknologien rummer et stort potentiale og mange muligheder inden for en lang række områder. Samtidig kan teknologien – afhængig af dens design og brug – skabe risici i forhold til databeskyttelse, herunder f.eks. negativt påvirke de registreredes rettigheder.
For at sikre borgernes personoplysninger og rettigheder har Datatilsynet igennem flere år haft fokus på AI. Det gælder særligt, når behandlingen af personoplysninger i forbindelse med denne teknologi omhandler sårbare persongrupper med reducerede muligheder for at fravælge behandlingen. I 2026 sætter Datatilsynet fokus på sundhedssektorens brug af beslutningsstøttende AI under behandlingen af patienter og på anvendelsen af AI til overvågning og kontrol af borgere i pleje.
Måle- og overvågningsenheder til patientbehandling i hjemmet
I takt med den øgede anvendelse af IoT-enheder[1] - såsom medicinsk udstyr, kameraer og sensorer – på tværs af industrier, brancher og organisationer, modtager Datatilsynet flere og flere anmeldelser af brud på persondatasikkerheden, der skyldes uautoriseret adgang til IoT-enheder eller systemer og/eller netværk, som IoT-enheder kan være adgangspunkt til.
For at styrke både opmærksomheden omkring reglerne og selve regelefterlevelsen vil Datatilsynet i 2026 foretage tilsyn med fokus på anvendelsen af internetforbundne måleinstrumenter og overvågningsenheder i patientbehandlingen i hjemmet. Datatilsynet vurderer, at det er et område, hvor borgernes ret til privatliv kan komme under et betydeligt pres, og hvor de kun har begrænsede muligheder for at afvise anvendelsen af det pågældende udstyr.
Danske hjemmesiders sporing af borgere
I 2025 satte Datatilsynet fokus på den indsamling – og eventuelle videregivelse – af personoplysninger, der sker i forbindelse med bl.a. brug af indkøbsapps. Datatilsynet vil i 2026 fortsætte sit fokus på sporing i de registreredes hverdagsliv. Denne gang med fokus på danske hjemmesiders sporing af borgere.
Der er tale om et område, som Datatilsynet også tidligere har sat fokus på i tilsynssammenhænge, og der er også sket visse fremskridt i forhold til regelefterlevelsen. Der bliver imidlertid stadig løbende offentliggjort undersøgelser, der viser, at der fortsat foregår omfattende indhentning af personoplysninger på danske hjemmesider, og hvor borgerne ikke har en reel mulighed for at sige nej til sporingsteknologier.
Foruden Datatilsynet fører også Digitaliseringsstyrelsen tilsyn på dette område, og Datatilsynets indsats i forhold til dette vil derfor ske efter koordinering med Digitaliseringsstyrelsen.
Overvågning af ansatte
En række teknologier gør det muligt for arbejdsgivere i vidt omfang at overvåge deres ansatte. Overvågning af ansatte vil ofte indebære behandling af en større mængde oplysninger om dem, og en ansat vil kunne opfatte overvågningen som indgribende og samtidig være i en sårbar situation i forhold til at sige fra eller ligefrem klage over sin arbejdsgiver.
Datatilsynet satte også i 2024 fokus på overvågning af ansatte og foretog i den forbindelse tilsyn i form af en kortlægning af omfanget og karakteren af den overvågning, der finder sted med henblik på kontrol af ansatte. I 2026 vil Datatilsynet – med udgangspunkt i indsigten fra kortlægningen – foretage målrettede tilsyn med arbejdsgiveres behandling af personoplysninger i forbindelse med kontrol af deres ansatte.
Persondatasikkerhed, de registreredes rettigheder og andre særlige tilsynsforpligtelser
Udover at sætte fokus på overvågning gennem nye teknologier ønsker Datatilsynet i år gennem en række andre målrettede tilsyn at følge op på tilsynets tidligere udmeldte skærpelse af praksis, når det gælder brugen af auto-complete, og mere generelt efterlevelsen af reglerne om bl.a. gennemsigtighed og oplysningspligt. Endvidere har Datatilsynet en række særlige tilsynsforpligtelser, som hvert år derfor også bidrager til oversigten over fokusområder.
Sikker anvendelse af auto-complete
Datatilsynet modtager hvert år flere tusinde anmeldelser om brud på persondatasikkerheden, der skyldes fremsendelse af mail med forkert modtager. Fejlforsendelser kan have store konsekvenser, hvis borgernes oplysninger kommer i de forkerte hænder. I august 2023 skærpede Datatilsynet derfor sin praksis i forhold til virksomheder og myndigheders anvendelse af funktionen ”auto-complete” i mailprogrammer.
Datatilsynet indskærpede bl.a., at dataansvarlige, der vil anvende funktionen, skal lave en risikovurdering, og at de i øvrigt skal implementere en eller flere tekniske sikkerhedsforanstaltninger for at mindske risikoen for fejlforsendelse som følge af brugen.
Datatilsynet har i forlængelse af sin skærpede praksis vejledt om brugen af auto-complete. Det er bl.a. sket i tilsynets ”Vejledning om 10 typiske brud på persondatasikkerheden og gode råd til, hvordan de undgås”. Datatilsynet modtager imidlertid stadig anmeldelser om brud på persondatasikkerheden, der skyldes virksomheders eller myndigheders brug af auto-complete, og tilsynet vil derfor i 2026 foretage en række tilsyn i forhold til dette i såvel den offentlige som den private sektor, som vil blive målrettet mod dataansvarlige, som Datatilsynet vurderer, behandler følsomme og fortrolige personoplysninger i stort omfang, og hvor sandsynligheden for regelbrud med alvorlige konsekvenser for de registrerede derfor er høj.
Tilsyn med store databehandlere
Der er en række danske organisationer, som er kendetegnet ved, at de agerer databehandler for rigtig mange dataansvarlige kunder i enten den offentlige eller den private sektor. En databehandler har efter databeskyttelsesforordningen en række forpligtelser. Bl.a. må databehandleren kun behandle oplysninger i overensstemmelse med de dataansvarlige kunders instruktioner, og databehandleren skal træffe alle de sikkerhedsforanstaltninger, der er nødvendige i forhold til GDPR, men også bistå de dataansvarlige i at sikre deres overholdelse af GDPR.
For de store databehandlere, der tilbyder enterprisedrift og tværgående shared-servicefælleskaber, ønsker Datatilsynet at få sat fokus på de dataansvarlige kunders mulighed for – når de benytter en sådan leverandør – reelt at kunne agere som reglerne pålægger en dataansvarlig at skulle agere.
Datatilsynet bliver ofte mødt med argumenter fra de dataansvarlige om, at denne type databehandlere, ikke tillader en individualiseret løsningstilgang. Princippet om uniforme leverancer overtrumfer således de dataansvarlige kunders ønsker om – gennem instruktion – at få individuelt tilpassede aftaler og løsningskrav gennemført. Herudover vil change-management-set-uppet hos denne type databehandlere kunne påvirke enkelte dataansvarlige kunders forhold på en måde, at de pågældende anser det for meget vanskeligt at kunne leve op til deres forpligtelser som dataansvarlig.
Datatilsynet vil derfor i 2026 foretage tilsyn hos nogle af de store databehandlere, både indenfor offentlige og den private sektor.
Registreredes ret til gennemsigtighed og oplysninger
Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordineret håndhævelsesramme (Coordinated Enforcement Framework (CEF)) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. Siden 2022 er der årligt iværksat fælles indsatser om forskellige emner. Datatilsynet har deltaget i indsatserne i årene 2023-2025 og vil også deltage i indsatsen i 2026, som kommer til at omhandle dataansvarliges overholdelse af reglerne om gennemsigtighed og oplysningspligt.
Behandling af personoplysninger i fælleseuropæiske informationssystemer
Datatilsynet er tilsynsmyndighed for danske myndigheders behandling af personoplysninger i forbindelse med anvendelsen af en række fælleseuropæiske informationssystemer. Det drejer sig bl.a. om Schengen-informationssystemet (SIS), Visuminformationssystemet (VIS), EU-fingeraftryksregisteret (EURODAC) og det nye fælleseuropæiske digitale ind- og udrejsesystem (EES). Datatilsynet vil i 2026 føre tilsyn med myndighedernes behandling af personoplysninger i forbindelse med anvendelsen af flere af disse fælleseuropæiske informationssystemer.
Tilsyn med behandlingen af PNR-oplysninger
PNR-loven udgør den retlige ramme for politiets indsamling og behandling af de passagerlisteoplysninger (PNR-oplysninger), som luftfartsselskaberne er i besiddelse af om deres passagerer. Oplysningerne må ifølge loven alene behandles til nogle særligt opregnede formål.
Der er i medfør af loven etableret en PNR-enhed i Rigspolitiet, som er ansvarlig for bl.a. at indsamle, opbevare, og videregive oplysningerne.
Datatilsynet vil gennemføre et tilsyn med PNR-enheden sammen med Tilsynet med Efterretningstjenesterne, der er tilsynsmyndighed for så vidt angår PNR-enhedens behandling af personoplysninger i forhold til Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste.
[1] Internet of Things (IoT) refererer til netværksforbundne enheder, der udveksler data i realtid.