Den 5. september 2025 har Datatilsynet indledt en sag af egen drift af et konkret forskningsprojekt i Region Hovedstaden. Det sker på baggrund af den medieomtale, der har været i DR i sidste uge.
Datatilsynet har bl.a. bedt Region Hovedstaden om en redegørelse for de databeskyttelsesretlige vurderinger, der er blevet foretaget, inden påbegyndelse af behandling af personoplysninger i det pågældende projekt.
Her kan du læse Datatilsynets brev til Region Hovedstaden.
Dataansvarliges udarbejdelse af en konsekvensanalyse
Den medieomtale, der har været i DR i sidste uge, giver dog allerede nu Datatilsynet anledning til at komme med en række generelle bemærkninger, som gælder for alle dataansvarlige.
Datatilsynet har en betydelig forståelse for, at kommuner, regioner og statsinstitutioner samt store dele af den private sektor lige nu kan opleve et stort forretningsmæssigt pres for at ibrugtage de løsninger, der opstår som følge af nye teknologier. Det er dog afgørende – også i en sådan situation – at huske på, at de registrerede borgeres rettigheder og menneskerettigheder ikke kan tilsidesættes, udover i de situationer lovgivningen foreskriver, og da kun hvis de retssikkerhedsmæssige garantier, der eksisterer, er opfyldt.
En forudgående vurdering af behandlingerne, der ønskes påbegyndt, er i den forbindelse en essentiel forudsætning, når der behandles personoplysninger. Først og fremmest for at vurdere lovligheden af behandling, og dernæst for at sørge for at arbejde struktureret med at nedbringe de risici, behandlingerne medfører for den registrerede borgers rettigheder og menneskerettigheder.
Hvis en type af behandling sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og menneskerettigheder, skal der – inden behandlingerne påbegyndes – foretages en databeskyttelsesretlig konsekvensanalyse.
Datatilsynet har på tilsynets hjemmeside både vejledninger og skabeloner, der kan bistå de dataansvarlige i vurderingen af, om der skal udarbejdes en konsekvensanalyse, og hvad en sådan analyse skal og kan indeholde. Særskilt for behandlingen i AI-løsninger har Datatilsynet en særlig vejledning og en indholdsmæssigt udfyldt skabelon.
Hvis det på et tidspunkt konstateres, at der er tale om en ulovlig behandling af personoplysninger, vil det som udgangspunkt have som konsekvens, at behandlingen skal ophøre, og at alle persondata og resultater, som behandlingen har frembragt, skal slettes. Det er derfor vigtigt - også for den dataansvarliges fortsatte drift – at de retssikkerhedsmæssige garantier som databeskyttelsesforordningen er udtryk for, er opfyldt, inden ens drift baseres på ulovligt benyttede data eller modeller.
Vil du vide mere?
Læs mere om konsekvensanalyse.
Læs mere om kunstig intelligens.
Læs mere om sagen på DR’s hjemmeside.