Datatilsynet skærper i 2026 tilsynet med teknologidreven overvågning, websporing og persondatasikkerhed. Fokus er særligt på hjemmesiders brug af tracking-teknologier, kontrolforanstaltninger over for ansatte, sikker e-mailpraksis og de risici, der knytter sig til store databehandlere og fælleseuropæiske informationssystemer. Organisationer bør derfor prioritere et dokumenterbart og risikobaseret compliance-arbejde.
Tilsynstemaer 2026: overvågningsteknologier og websporing
AI-baseret overvågning i plejesektoren og telemedicinske måle- og overvågningsenheder i hjemmet rejser krav om proportionalitet, dataminimering og passende sikkerhed. Behandling af særlige kategorier forudsætter et robust behandlingsgrundlag, klart formål og streng adgangskontrol.
Websporing via cookies, pixels og tredjepartsscripts vil blive kontrolleret med vægt på gyldigt samtykke, gennemsigtighed og granularitet. Uden nødvendigt behandlingsgrundlag, tydelig information og brugerkontrol er der øget risiko for påbud og sanktioner.
Medarbejderovervågning: behandlingsgrundlag og information
Kontrol af ansatte skal være nødvendig og sagligt begrundet, understøttet af et klart behandlingsgrundlag og en opdateret oplysningspligt. Skjult eller uforholdsmæssig overvågning strider mod princippet om rimelighed og kan udløse alvorlig kritik.
Arbejdsgivere bør fastlægge dokumenterede politikker for logning, lokationssporing og adgangskontrol, sikre passende slettefrister og inddrage samarbejdsorganer, hvor det er påkrævet. En risikobaseret tilgang bør afdække formål, datatyper, lagring og kontrol af leverandører.
Persondatasikkerhed i praksis: e-mail og store databehandlere
Fejlafsendelser via auto complete er fortsat en hyppig årsag til brud. Forebyggelse kræver konfigurationer som advarsler ved eksterne modtagere, forsinket afsendelse, obligatorisk dobbelttjek af modtagerlister samt kryptering og pseudonymisering, hvor det er relevant.
Store databehandlere og fælles systemmiljøer kommer under skærpet tilsyn. Dataansvarlige skal sikre effektive tekniske og organisatoriske foranstaltninger, fuld gennemsigtighed om subdatabehandlere, auditrettigheder og hærdede overførselsmekanismer ved tredjelandsleverancer.
Disse praktiske skridt bør prioriteres nu:
- Opdater risikovurderinger og gennemfør målrettede DPIA’er for overvågning, websporing og e-mail.
- Styrk tekniske og organisatoriske foranstaltninger, herunder kryptering, adgangsstyring og logning.
- Revider samtykkeløsninger og cookiebannere for lovlighed og brugerkontrol.
- Opdater politikker for medarbejderkontrol og gennemfør målrettet information til ansatte.
- Gennemgå databehandleraftaler, subprocessor-lister og auditplaner.
EU-systemer og PNR: særlige tilsynskrav
Behandling i fælleseuropæiske informationssystemer og PNR-ordninger er underlagt både GDPR og sektorregler. Her forventes skærpet adgangsstyring, detaljeret logning, kortlagte formål og dokumenteret hjemmel, herunder klare rollefordelinger mellem dataansvarlige og databehandlere.
Organisationer bør sikre ensartet efterlevelse på tværs af systemer og leverandører samt styrket governance, så krav om oplysningspligt, indsigt og sletning håndteres effektivt. Se Datatilsynets fokusbeskrivelse for 2026 på datatilsynet.dk.
