Datatilsynet har offentliggjort tilsynsplanen for 2024 med en række prioriterede indsatser, der får betydning for både offentlige og private dataansvarlige. Myndigheden vil følge op gennem målrettede kontroller, og manglende efterlevelse kan udløse kritik, påbud eller bødeindstilling. Organisationer bør derfor sikre opdaterede politikker, dokumentation og tekniske kontroller, særligt på de udpegede fokusområder.
AI og automatisering
Brugen af kunstig intelligens og automatiserede løsninger står centralt. Efter EDPB’s retningslinjer om AI og databeskyttelse forventes en klar behandlingshjemmel, gennemsigtighed om modellernes formål og træning samt passende menneskeligt tilsyn ved beslutninger, der påvirker enkeltpersoner. En dokumenteret DPIA er afgørende, når behandlingen indebærer høj risiko, ligesom adgangsstyring, logning og dataminimering skal være på plads.
Automatisering, herunder beslutningsstøtte og RPA, skal vurderes for konsekvenser for de registrerede. Organisationer bør kunne forklare datakilder og logik, håndtere bias og sikre robust governance i hele systemets livscyklus, herunder løbende vurderinger ved gentræning og ændringer.
Online og fysisk handel
Datatilsynet retter også blikket mod behandling i detailhandlen, både online og i butikken. Løsninger som ”scan og betal apps” og lagring af betalingsoplysninger kræver klar information til kunderne, passende sikkerhed (fx kryptering og begrænset adgang) samt streng kontrol med opbevaringsperioder. Behandling skal holdes inden for formålene og dokumenteres.
Dataansvarlige bør styrke leverandørstyringen, herunder vurdering af cloudtjenester og underdatabehandlere, og sikre, at aftaler og tekniske foranstaltninger matcher risikobilledet.
Behandlingssikkerhed og indsigt
Hos kommuner og regioner fortsætter opfølgningen på grundlæggende behandlingssikkerhed. Tilsynene omfatter særligt kryptering af bærbare datamedier, brug af scanningsværktøjer og gennemførte konsekvensanalyser. Mangler kan føre til politianmeldelser og bødeindstillinger.
Den registreredes ret til indsigt er udpeget i EDPB’s koordinerede håndhævelsesramme. Datatilsynet vil teste, om anmodninger håndteres rettidigt og korrekt, og om søgninger i systemer er tilstrækkelige. Planen inkluderer også boligforeninger, privatskoler, kommunale webarkiver, fælleseuropæiske informationssystemer samt områder under retshåndhævelsesloven og PNR-loven.
