GDPR artikel 32

Højesteret fastslår, at små ikke-økonomiske gener kan udløse godtgørelse efter GDPR, men kun ved konkret og dokumenteret immateriel skade. I Gladsaxe-sagen blev kommunen frifundet, da bevis for skade manglede, selv om der forelå brud på behandlingssikkerheden.

En norsk dom afviser force majeure ved cyberangreb, når leverandøren mangler grundlæggende sikkerhedsforanstaltninger. Leverandøren hæfter for direkte tab, men et aftalt ansvarsloft står ved magt uden grov uagtsomhed. Dommen skærper krav til IT-kontrakter og sikkerhedsbaseline.

ICH har vedtaget E6(R3) om god klinisk praksis med stærkere krav til risikoproportionalitet, data governance og tydeligere rammer for samtykke. Udkast til Annex 2 dækker pragmatiske og decentraliserede forsøg samt brug af real world data og forventes færdiggjort i 2025.

EDPB præciserer dataansvarliges pligter ved brug af databehandlere og cloudleverandører, herunder krav om identificering, verifikation og dokumentation af underdatabehandlere samt dokumentation ved tredjelandsoverførsler. Målet er ensartet håndhævelse på tværs af EU.