Datatilsynet har udmeldt sine fokusområder for 2024 med sigte på at løfte sikkerheden for personoplysninger i både offentlige og private organisationer. Prioriteterne omfatter brug af kunstig intelligens og automatisering, adgangsstyring og forebyggelse af misbrug, samt grundlæggende behandlingssikkerhed i kommuner og regioner. Herudover peges der på blandt andet indsigtsret, overvågning af ansatte, kommunale webarkiver, boligforeninger, privatskoler, online og fysisk handel, fælleseuropæiske informationssystemer samt regler efter retshåndhævelsesloven og PNR-loven.
Kunstig intelligens og automatisering
Organisationer, der anvender AI, skal etablere et klart behandlingsgrundlag, informere de registrerede og foretage konsekvensanalyse (DPIA), når behandlingen indebærer høj risiko. AI-løsninger bør designes efter principperne om dataminimering og privacy by design/default, med tydelig rollefordeling mellem dataansvarlig og databehandler.
Datatilsynet har tidligere vejledt særligt offentlige myndigheder om AI, hvilket også er relevant for private aktører. Praktisk betyder det styrket governance, dokumentation af formål, menneskelig involvering ved automatiserede afgørelser og robust logning af modellernes anvendelse.
Rettighedsstyring og forebyggelse af misbrug
Mangelfuld adgangsstyring går igen i mange sikkerhedsbrud. En effektiv model bygger på mindst mulig adgang, rollebaserede rettigheder, funktionsadskillelse og løbende adgangsreview. Logning og alarmering er centrale for at opdage uautoriseret adgang og dokumentere kontroller.
Organisationer bør supplere tekniske foranstaltninger med klare politikker for onboarding, rolleændringer og fratrædelser, og sikre at nødvendighedskravet efter GDPR overholdes. Regelmæssige kontroller og awareness-træning reducerer risikoen for misbrug i praksis.
Behandlingssikkerhed i kommuner og regioner
Myndigheder håndterer store mængder følsomme og fortrolige oplysninger. Datatilsynet vil særligt se på kryptering af bærbare datamedier, brug af scanningsværktøjer til forebyggelse af datalæk og kvaliteten af konsekvensanalyser. Modenhedstilsyn fortsætter, og ikke-besøgte kommuner forventes at forberede sig.
En risikobaseret tilgang bør omfatte systematisk kortlægning af behandlingsaktiviteter, opdaterede sikkerhedspolitikker, test af kontroller og dokumenteret efterlevelse. Samtidig er områder som indsigtsret, overvågning af ansatte og behandling i fælleseuropæiske informationssystemer relevante, hvilket forudsætter klare procedurer og sporbarhed.
