GDPR artikel 32

En norsk dom afviser force majeure ved cyberangreb, når leverandøren mangler grundlæggende sikkerhedsforanstaltninger. Leverandøren hæfter for direkte tab, men et aftalt ansvarsloft står ved magt uden grov uagtsomhed. Dommen skærper krav til IT-kontrakter og sikkerhedsbaseline.

ICH har vedtaget E6(R3) om god klinisk praksis med stærkere krav til risikoproportionalitet, data governance og tydeligere rammer for samtykke. Udkast til Annex 2 dækker pragmatiske og decentraliserede forsøg samt brug af real world data og forventes færdiggjort i 2025.

EDPB præciserer dataansvarliges pligter ved brug af databehandlere og cloudleverandører, herunder krav om identificering, verifikation og dokumentation af underdatabehandlere samt dokumentation ved tredjelandsoverførsler. Målet er ensartet håndhævelse på tværs af EU.

Datatilsynet har politianmeldt Hvidovre Kommune og indstiller en bøde på mindst 200.000 kr. efter utilsigtet deling af beskyttede adresser via den kommunale tandplejes selvbetjening og breve. Sagen skærper fokus på ændringsstyring, adgangsstyring og kravene i GDPR artikel 32 og 83.