Datatilsynet har fastlagt tilsynsaktiviteterne for 2026 med særligt fokus på højrisikobehandlinger og efterlevelse i praksis. Organisationer skal forvente kontrol af AI i sundheds- og plejesammenhænge, hjemmemonitorering via IoT, sporing på hjemmesider, overvågning af ansatte, risici ved auto complete i e-mail, brug af store databehandlere samt efterlevelse af gennemsigtigheds- og oplysningspligter. Manglende dokumentation og utilstrækkelige sikkerhedsforanstaltninger kan udløse påbud eller sanktioner.
AI og hjemmemonitorering
Brug af AI tæt på den enkelte borger i pleje og sundhed skærper kravene til nødvendighed, proportionalitet, dataminimering og gennemsigtighed. Dataansvarlige bør sikre et klart behandlingsgrundlag, gennemføre konsekvensanalyse (DPIA) og kunne redegøre for, hvordan registreredes rettigheder respekteres. Det omtales, at EU’s Digital Omnibus kan indarbejde særlige hjemler i GDPR for AI-træning og -brug, men der er tale om et forslag og dermed ikke gældende ret.
Patientnær behandling i hjemmet med internetforbundne sensorer og kameraer øger angrebsfladen. Tilsynet retter blikket mod, om passende tekniske og organisatoriske foranstaltninger er implementeret, herunder adgangsstyring, kryptering, logning og sikker konfiguration. Fokus hænger sammen med Data Act, som regulerer dataadgang og ansvar ved brug af smarte produkter og relaterede tjenester.
Kontrol i arbejdsliv og online
Overvågning af ansatte vil blive kontrolleret med vægt på formålsafgrænsning, proportionalitet og transparens. Eksempler omfatter adgangskontrol, video, GPS, DLP og produktivitetssoftware. Arbejdsgivere skal kunne dokumentere oplysning til medarbejdere, slettefrister, adgangsrettigheder og risikovurderinger.
Sporing på hjemmesider forudsætter gyldigt samtykke, klare formål og indsigt i leverandørkæden. Datatilsynet vil se på, om brugere får reelle valgmuligheder, og om indsamling og eventuel videregivelse via cookies og lignende teknologier håndteres i overensstemmelse med GDPR og ePrivacy-reglerne.
Databehandlere, e-mail og rettigheder
Store databehandlere med standardiserede løsninger giver udfordringer for den dataansvarliges kontrol. Ansvar kan ikke outsources, og der forventes styr på kontrakter, instrukser, auditspor og løbende leverandørstyring, så art. 28-forpligtelser kan dokumenteres.
Auto complete i e-mail er en hyppig årsag til databrud. Datatilsynet vil vurdere, om risici er identificeret, og om der er implementeret effektive afbødende tiltag, fx ekstra modtagerkontrol, forsinket afsendelse eller begrænsning af automatisk udfyldning ved følsomme oplysninger.
Der gennemføres også fælleseuropæiske indsatser om gennemsigtighed og oplysningspligt, samt tilsyn med behandling i fælleseuropæiske informationssystemer og PNR-oplysninger. Organisationer bør sikre korrekte oplysninger efter art. 13/14, håndtering af indsigtsanmodninger og et robust behandlingsgrundlag.
For at forberede sig bør organisationer målrette deres GDPR-setup mod tilsynstemaerne:
- Kortlæg behandlinger og opdater DPIA, samtykker og formål.
- Styrk leverandørstyring, kontrakter, instrukser og kontrolspor.
- Hærd tekniske og organisatoriske foranstaltninger og test dem.
- Gennemgå politikker, informationstekster, slettefrister og logning.
