Datatilsynets fokus i ’26
Datatilsynet har netop meldt ud, hvilke tilsynsaktiviteter, de selv beslutter at iværksætte, de vil prioritere i 2026. Udover nedenstående fokusområder vil de selvfølgelig også fortsat foretage tilsyn af egen drift på baggrund af klager og andet input.
USA er stadig ok
Den franske statsborger Philippe Latombe har netop tabt retssagen mod EU-Kommissionen omkring tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework.
Nyt omkring databrud
Blandt andet på baggrund af et øget antal sikkerhedsbrud pga. hacking, lancerer Datatilsynet nu flere tiltag for at styrke it-sikkerheden omkring persondata.
Mere hjælp til cookies
Har I en hjemmeside eller en app, bruger I højst sandsynligt også cookies. Cookies kan både være nødvendige for at teknikken fungerer – men i mange tilfælde bliver de også brugt til at tracke, hvordan brugeren agerer på hjemmesiden. Ikke mindst af de forskellige tredjeparts-samarbejdspartnere, der fx leverer plugins til jeres hjemmeside.
Datatilsynets fokus i ’25
Datatilsynet har lige offentliggjort deres fokusområder for 2025, og de omfatter en lang række forskellige indsatser – primært i form af målrettede tilsyn. De pågældende temaer dækker…
Offentliggør du data?
Myndigheder og virksomheder offentliggør dokumenter som led i deres arbejde – og her sniger der sig ofte utilsigtede persondata med.
Øget risiko for smishing
På det seneste har Datatilsynet modtaget mange anmeldelser om brud på persondatasikkerheden via en række sms-tjenester. Mere end 700.000 personers telefonnumre og beskedindhold er blevet kopieret, hvilket kan bruges til fremover at lave meget realistiske, men falske sms’er.
Nyt om databrud
Antallet af anmeldte databrud er, bortset fra et lille fald i 2021, steget jævnt siden 2018. Senest er det steget fra 8.839 anmeldelser i 2022 til 9.493 i 2023, og i 2024 er der til dato anmeldt 4.882 hændelser.
GDPR for foreninger
Mange frivillige foreninger har mange personer tilknyttet. Det kan fx være ansatte, frivillige, sponsorer, samarbejdspartnere og medlemmer. Sidstnævnte kan også omfatte børn. Derfor er det meget vigtigt at netop foreninger har styr på GDPR. Omvendt er der også tit mangel på ressourcer. Ikke mindst fordi en stor del af arbejdet er baseret på frivillige hænder.
50.000+ anmeldelser
Siden 2018 har det været lovpligtigt at underrette Datatilsynet om brud på persondatasikkerheden, og i maj 2024 passerede tælleren 50.000 anmeldte brud, der typisk omhandler tilfælde, hvor en medarbejder, kunde eller borgers oplysninger er blevet kompromitteret. Men der er stor forskel på, hvor alvorlig en hændelse, der er tale om.
Ny klageformular
Der er netop blevet vedtaget to nye klageformularer vedr. EU-U.S. Data Privacy Framework fra Det Europæiske Databeskyttelsesråd. Læs mere og se dem her. Læs mere
Harmonisering af GDPR
EDBP som står for Det Europæiske Databeskyttelsesråd har vedtaget en ny strategi frem mod 2027, og her er nøgleordet harmonisering. Det betyder, at regler, krav og håndhævelse i stigende grad vil blive ensrettet på tværs af EU, hvor fokus i de kommende år er på også at hjælpe ikke-eksperter med at få bedre styr på persondata og GDPR.
Nyt om 3. lande
Datatilsynet har opdateret sin vejledning om overførsel af personoplysninger til tredjelande. Du kan downloade den ved at klikke på linket herunder… Download
Temaside om samtykke
Datatilsynet får så mange henvendelser om samtykke, at de nu har oprettet en temaside. Her finder du svar på de fleste af de spørgsmål, de dagligt får. Her kan du læse mere om, hvor og hvornår samtykke er påkrævet. Læs også om hvornår det ikke er muligt at slette data. Se siden her
SMV-hjælp i julegave
EDBP som står for det Europæiske Databeskyttelsesråd har evalueret databeskyttelsesforordningen, og konstaterer, at de første 5½ år har været en succes. Primært fordi de databeskyttelsesretlige principper i hele EU er blevet styrket, moderniseret og harmoniseret. Desuden er den blevet en inspiration for lande uden for EU. Dog har GDPR været en udfordring for mange i SMV-segmentet. Derfor vil EDPB sammen med de nationale datatilsyn fortsat hjælpe SMV’erne omkring GDPR. Endelig skriver de, at de på nuværende tidspunkt ikke mener, at der er behov for at revidere lovgivningsteksten. Læs hele nyheden her
Bedre sikkerhed
Datatilsynet har nu lanceret et omfattende katalog over en stribe sikkerhedsforanstaltninger, som virksomheder og myndigheder kan bruge i forskellige sammenhænge. Kataloget omfatter forslag til tekniske og organisatoriske foranstaltninger, der kan mixes og anvendes efter behov. Brugen af de enkelte foranstaltninger afhænger af både risikoniveau og øvrige indsatser, men tag et kig på det, hvis du mener, jeres sikkerhed kan blive endnu bedre. Bliv inspireret her
Så skete det: EU-US DPF
Efter flere års venten, sagde EU-Kommissionen mandag god for det såkaldte EU-U.S. Data Privacy Framework (EU-US DPF). Dermed bliver det meget lettere at overføre persondata til USA, da det hverken kræver brug af EU-Kommissionens standardbestemmelser (SCC), virksomhedsregler eller supplerende foranstaltninger. EU-US DPF er nok 😊 Det betyder, at vi måske snart lovligt kan benytte Google Analytics, Microsoft, Dropbox, Mailchimp og tilsvarende tjenester, som hidtil har været problematiske at bruge. Det kræver dog, at modtager er EU-US DPF-certificeret. Det har vi skrevet en lille artikel om, som du kan finde ved at klikke på nedenstående link. Læs hele blogindlægget her.
Året der gik…
Datatilsynet har netop udsendt deres årsberetning for 2022, og her er der flere spændende tal for året, der gik. De har i 2022 modtaget 8.816 anmeldelser om brud på sikkerheden. Heraf var 2.978 fra private dataansvarlige svarende til knap 34%, hvilket er et kraftigt fald fra de 40%, den har ligget på de seneste 3 år. Ret positivt 😀 De har også gennemført 1.817 tilsyn, hvoraf 1.159 var i private virksomheder, hvilket svarer til 64%. For ikke at nævne de 513 tilsyn, de har gennemført på eget initiativ. De mange tilsyn førte i 2022 til 11 politianmeldelser. Læs Datatilsynets årsberetning 2022 på Datatilsynets hjemmeside her.
Tiden der kommer…
Og hvordan ser fremtiden så ud – hvad vil Datatilsynet fremover fokusere på? I 2023 vil Datatilsynet justere kursen. I stedet for at grave alt for dybt kan tage flere generelle sager op af egen drift. Sagerne udvælges ud fra klager, databrud, medieomtale og tips – samt områder, hvor mange borgere er udsat. Desuden har de en række konkrete fokusområder i 2023. Her sætter de nemlig lup på børn og unge, virksomheder der fremstiller og leverer (sundhedsprodukter) direkte til borgere, brug af website-analytics samt tv-overvågning. Læs mere om Datatilsynets indsatsområder i 2023 på Datatilsynets hjemmeside her.
Reykjavik deklarationen
Den 15.-16. maj afholdt de nordiske datatilsyn deres årlige møde i Reykjavik, hvor de kiggede fremad. De udvekslede erfaringer om bl.a. bøder og talte om, hvordan de fremover kan… Alle områder, der ligger fint i tråd med det danske Datatilsyns ambitioner om bl.a. flere tilsyn. Find og download hele Reykjavik deklarationen (på engelsk) på Datatilsynets hjemmeside her.
Husk 27. deSCCember
Husk at den 27. december er den sidste frist for at overgå til EU’s nye standardkontrakter (SCC). De bruges som overførselsgrundlag ifm. brug af databehandler i 3. land. Standardaftaler (SCC) indgået FØR den 27. september 2021 (baseret på den gamle version) skal inden den 27. december 2022 være erstattet af den nye version. Standardaftaler (SCC) indgået EFTER den 27. september 2021 bør være baseret på den nye version og skal derfor ikke opdateres. Læs mere på Datatilsynets hjemmeside her.
Styr på usikre 3. lande?
Siden Schremms 2 satte EU-US Privacy Shield ud af kraft, har der været stor usikkerhed om, hvordan man skulle forholde sig til overførsler til usikre tredjelande. Ét værktøj er EU’s standardkontrakter SCC, og et andet er supplerende foranstaltninger. Begge bør dog suppleres af en såkaldt TIA, der vurderer selve dataoverførslen. Der findes ingen autoriserede skabeloner. Grundet stor efterspørgsel er vi dog ved at udvikle en Lexoforms TIA på klart dansk, der er til at forstå! Stay tuned! Læs mere om tredjelandsoverførsler på Datatilsynets hjemmeside her.
Stor bøde til advokater?
SIRIUS advokater i København kompromitterede flere særligt beskyttelsesværdige persondata, da de i marts 2020 blev udsat for et hackerangreb. De er nu indstillet til en bøde på 500.000 kr. for ikke at have gennemført helt basale sikkerhedsforanstaltninger ved opsætning af fjernadgang til deres it-systemer. “Man kan ikke gardere sig 100 % mod hackerangreb, men man skal gøre en indsats for at undgå det” siger Betty Husted, fuldmægtig i Datatilsynet. Læs hele historien på Datatilsynets hjemmeside her.
Kritik af Salling Group
Datatilsynet har kritiseret Salling Group for ikke at have krypteret kundernes passwords, når de loggede ind på hjem.foetex.dk. Problemet var, at Salling Group anvender et fælleslogin, så brugernavn og password kan anvendes på alle deres sites inkl. Føtex, Bilka, Netto, Salling og Carl Junior. Det var en menneskelig fejl, der gjorde, at op mod 146 interne brugere i Salling Group fik teknisk adgang til at læse både brugernavne og passwords for de kunder, der havde foretaget login på hjemmesiden. Læs hele historien på Datatilsynets hjemmeside her.
Så galt kan det gå
Hvis du er i tvivl om, hvorfor GDPR og datasikkerhed er vigtigt, så læs historien om, hvor galt det kan gå – og hvorfor slettepolitik er vigtigt. Der var tale om en menneskelig fejl, da 3F Østfyn helt rutinemæssigt udsendte deres fagblad til medlemmerne. Desværre havde én af modtagerne ændret navn og adresse ifm. med en fraflytning fra en voldelig samlever. Men det blev ved en fejl kun halvt opdateret i systemet… Læs hele historien på Datatilsynets hjemmeside her.
Private bliver mere sikre
Siden maj 2020 er der anmeldt 16.000 sikkerhedsbrud, med 55% fra offentlige og 45% fra private virksomheder. Tendensen er i øvrigt, at det offentlige har et stigende antal sikkerhedsbrud, mens den private andel falder. Af de godt 7.000 anmeldelser fra det private er 40% indenfor forsikring, pension og banker, 10% er indenfor undervisning, og 6% er fra organisationer og foreninger. Sikkerhedsbrud inddeles efter hændelsestype, og her drejer 47% sig om mails sendt til en forkert modtager. Hacking udgør kun 2,2% og ransomware er under 1%. Se mere statistik over brud på persondatasikkerheden på Datatilsynets hjemmeside her.
Uberettiget og langsom
Datatilsynet har udtalt alvorlig kritik af Nuuday, der bl.a. står bag Yousee, Telmore, TDC Erhverv, Blockbuster og Hiper. De har ifm. en klagesag uberettiget indsamlet oplysninger om en klagers CPR-nummer. Desuden har de besvaret klagerens anmodning om indsigt for sent. Klageren ville vide, om det var muligt at få bredbånd på sin adresse, og skulle så oplyse sit personnummer. Da klager derefter i en mail bad Nuuday forklare, hvad det skulle bruges til, og samtidig bad om indsigt, gik der et halvt år, inden vedkommende fik svar. Nuuday erkendte forløbet, der blev tilskrevet en menneskelig fejl hos en medarbejder… Læs mere på Datatilsynets hjemmeside her.
Det kommer i fokus i ’22
Datatilsynet har lavet en liste over i alt 10 særlige fokusområder, som de vil stille skarpt på i 2022. Listen omfatter bl.a. behandling af følsomme persondata i den private sektor, oplysningspligt ved uanmodet henvendelse, behandling af persondata for besøgende på hjemmesider samt kontrol med databehandlere. Du kan læse mere om indsatsområderne ved at klikke på nedenstående link. Læs mere på Datatilsynets hjemmeside her.
Bruger I TCF?
Den europæiske brancheforening for medier og annoncører kaldet IAB Europe er af det belgiske datatilsyn kendt skyldig i en række overtrædelser af GDPR. De har udviklet værktøjet TCF til medier og annoncører. Det gør det muligt at indsamle samtykker ifm. annoncering, herunder registrere cookiesamtykker og præferencer. Annoncørerne kan så fx via real time bidding (RTB) købe sig ind på relevante brugeres præferencer. Og det er den praksis, IAB Europe som dataansvarlig er blevet dømt for. Mange danske annoncører, medier og firmaer benytter i dag TCF, så derfor kan dommen også få stor betydning herhjemme. Så tjek lige, om jeres website benytter TCF… Læs mere om TCF på Datatilsynets hjemmeside her.
Privacy Shield…
Som du kan læse nedenfor, ulmer gløderne stadig i det nærmest uendelige bål om overførsel af data til bl.a. USA, tidligere kendt som Privacy Shield. Aftalen blev i 2020 underkendt som følge af den såkaldte Schrems II dom. Her lagde østrigske Maximilian Schrems sag an mod Facebook i Europa. Sagen har stor betydning for overførsel af persondata mellem Europa og tredjelande som USA. Derfor holder vi skarpt øje med sagen – og vender tilbage, når der er nyt. Læs mere om status på Privacy Shield-aftalen her.
Mere opsøgende…?
En række partier er blevet enige om at afsætte yderligere 16,8 mio. kr. i alt til Datatilsynet. Beløbet afsættes i perioden 2022-2025, og hentes fra Digitaliseringsfonden. Formålet er at styrke Datatilsynets opsøgende arbejde. Det handler om at rådgive og vejlede myndigheder og virksomheder i sikker behandling af borgernes data. ”Når vi har ambitioner om at Danmark skal være digitalt foregangsland, kræver det blandt andet mere rådgivning og vejledning fra os – og det er det, vi får midler til her.” siger direktør i Datatilsynet Cristina Angela Gulisano. Læs mere på Datatilsynets hjemmeside her.
Er du klar til 27.09?
EU-kommissionen har udarbejdet et sæt nye standardbestemmelser for overførsel til tredjelande, som skal anvendes fra den 27. september i år. Det betyder samtidig, at du ikke kan benytte de tidligere standardbestemmelser efter persondatadirektivet, som er indgået inden den 27. september 2021. Dog er der etableret en overgangsordning, så de kan anvendes frem til den 27. december 2022 – under visse forudsætninger. Læs mere på Datatilsynets hjemmeside her.
Spiller du fløjte?
Den 29. juni i år vedtog Folketinget en lov om beskyttelse af whistleblowere baseret på EU’s whistleblowerdirektiv. Den 17. december 2021 træder loven i kraft. Her er der krav om, at virksomheder af en vis størrelse skal etablere interne whistleblower-ordninger. Uanset om I har en intern ordning eller ej, åbnes der op for, at man kan indberette direkte til Datatilsynet, når ordningen går i luften. Læs mere på Datatilsynets hjemmeside her.
Kører du bil?
Hvis du kører rundt i en såkaldt forbunden bil (connected car) kan data om fx motorens ydeevne og førerens vaner og brugsmønstre nemlig blive indsamlet og behandlet. I så fald skal du læse denne artikel, da sådanne data i vidt omfang er personoplysninger, og det rejser nogle databeskyttelsesmæssige problemstillinger. Læs mere på Datatilsynets hjemmeside her.
Suppl. foranstaltninger
Knap et år efter Schrems II-afgørelsen, der underkendte den såkaldte Privacy Shield-aftale, er de sidste brikker endelig faldet på plads vedr. overførsel af persondata til usikre tredjelande. Det er de såkaldte supplerende foranstaltninger, der nu er vedtaget. Resultatet ligger heldigvis ret tæt på de forudsigelser, vi tidligere har beskrevet. Grundlæggende er fokus øget på dataimportøren i det pågældende land. Det handler bl.a. om kryptering af data under transport og opbevaring. Desuden vil der ske en øget vurdering af en lang række andre faktorer ift. datasikkerhed. Ift overførsel af data til USA forventer vi i øvrigt, at der indenfor overskuelig fremtid kommer en ny aftale til erstatning af Privacy Shield. Stay tuned! Læs mere på Datatilsynets hjemmeside her.
UK er nu sikkert igen
I den forløbne uge godkendte EU-Kommissionen Storbritannien som et sikkert tredjeland – både ift. databeskyttelsesforordningen og ift. retshåndhævelsesloven. De såkaldte tilstrækkelighedsafgørelser betyder, at der ved udløbet af overgangsperioden efter Brexit fortsat kan overføres personoplysninger til Storbritannien uden et overførselsgrundlag. Dermed kan du – uanset om du er dataansvarlig og/eller databehandler – blive ved med at overføre persondata som før. Det er dog stadig et krav, at dataforordningens øvrige bestemmelser også overholdes. Læs mere på Datatilsynets hjemmeside her.
Vejle gik en tand for vidt
Vejle Kommune er indstillet til en bøde på 200.000 kr. En anmeldelse afslørede, at den kommunale tandpleje automatisk havde sendt velkomstbreve med begge forældres adresser til begge forældre. Men kommunen havde ikke vurderet, om oplysningerne i alle tilfælde måtte videregives til den anden forælder. Derfor modtog forældre i flere tilfælde oplysninger om den anden forælders (og barnets) adresse, uanset om denne havde navne- og adressebeskyttelse. Læs mere på Datatilsynets hjemmeside her.
Ok at sende data til UK
Med Brexit blev United Kingdom et tredjeland, hvor overførsel af persondata krævede et gyldigt overførselsgrundlag. Nu har EU-Kommissionen så fastslået, at UK faktisk har sikret et tilstrækkeligt databeskyttelsesniveau. Dermed kan du – både som dataansvarlig og -behandler – blive ved med at overføre persondata som før. Læs mere på Datatilsynets hjemmeside her.
Hjemmesider i fokus
Det danske Datatilsyn har meldt ud, at de fortsat vil have fokus på behandling af personoplysninger om websitebesøgende. Derfor fortsætter de i 2021 deres tilsyn på området. Læs mere på Datatilsynets hjemmeside her.
Coronapas på
Ifm. indførelsen af Coronapas i Danmark er der opstået en del usikkerhed om, hvordan dette skal håndteres. Ikke mindst i de brancher, hvor passet aktivt skal bruges, som fx hoteller og restauranter. Hovedpointen er, at det kan være i orden at bede kunder om at fremvise Coronapasset (med personnummer), men det er IKKE i orden at notere personnummeret ned. Læs mere om Corona og GDPR på Datatilsynets hjemmeside her.
