Digitaliseringsstyrelsen modtog alvorlig kritik fra Datatilsynet for mangelfulde sikkerhedsforanstaltninger

Det danske datatilsyn (»Datatilsynet«) har den 24. juni 2025 truffet afgørelse i en sag med journalnummer 2023-442-0197. Sagen vedrørte, om den danske Digitaliseringsstyrelse (»Digitaliseringsstyrelsen«) havde truffet passende tekniske og organisatoriske foranstaltninger inden implementeringen af Næste generations Digital Post (»NgDP«) og systemopdateringen den 23. august 2023.

Datatilsynets afgørelse udsprang af, at Digitaliseringsstyrelsen tidligere havde anmeldt fire tilfælde af brud på persondatasikkerheden til Datatilsynet, som alle udsprang af fejl opstået under overgangen til NgDP. Herudover havde Digitaliseringsstyrelsen offentliggjort driftsopdateringer den 29. august 2023 og den 31. august 2023 på digitaliser.dk, som viste, at der var opstået uhensigtsmæssige ændringer af tilmeldingsstatus for nogle borgere og virksomheder som følge af en ny udgivelse i Digital Post-løsningen den 23. august 2023. Herefter indledte Datatilsynet af egen drift en sag mod Digitaliseringsstyrelsen.

Datatilsynet fandt, at sagen gav anledning til at udtale alvorlig kritik af Digitaliseringsstyrelsen, eftersom de ikke havde behandlet personoplysninger i overensstemmelse med artikel 32, stk. 1 i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«). Efter denne bestemmelse skulle den dataansvarlige ved behandlingen af personoplysninger træffe passende tekniske og organisatoriske foranstaltninger for at opretholde et forsvarligt sikkerhedsniveau.

Datatilsynet lagde ved sin afgørelse vægt på, at NgDP var kommunikationskanalen mellem myndigheder, borgere og virksomheder, hvor der blev behandlet mange personoplysninger, ligesom modtagelse og afsendelse af meddelelser kunne medføre retsvirkninger. Af den årsag kunne fejl samt utilstrækkelige sikkerhedsforanstaltninger medføre alvorlige konsekvenser for de registrerede og deres rettigheder.

Læs afgørelsen fra Datatilsynet her: Digitaliseringsstyrelsen får alvorlig kritik for mangelfulde sikkerhedsforanstaltninger

Datatilsynet igangsætter tilsyn om retten til sletning

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 25. april 2025, at de igangsatte en række tilsyn med private dataansvarlige for at efterprøve, om reglerne vedrørende sletning af personoplysninger blev efterlevet i virksomheder, der tilbød onlinekasino. Tilsynene var en del af Det Europæiske Databeskyttelsesråds (»EDPB«) årlige koordinerede undersøgelse.

Baggrunden for, at tilsynene primært beskæftigede sig med sletning af personoplysninger i virksomheder inden for onlinekasino, var, at behandlingen af personoplysninger medførte en betydelig risiko for de registreredes rettigheder og frihedsrettigheder. Derudover var der en stigende tendens i benyttelsen af onlinekasino.

Tilsynene havde til formål at tegne et billede af virksomhedernes efterlevelse af reglerne om sletning af personoplysninger samt potentielle udfordringer i den forbindelse.

Læs Datatilsynets pressemeddelelse her: Datatilsynet igangsætter tilsyn om retten til sletning

Datatilsynet godkender ansigtsgenkendelse til fodboldlandskampe i Parken

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 28. april 2025, at Datatilsynet meddelte F.C. København og Dansk Boldspil-Union tilladelse til behandling af biometrisk data efter den danske databeskyttelseslov, jf. lovbekendtgørelse nr. 289 af 8. marts 2024 (»databeskyttelsesloven«) § 7, stk. 4 hvorefter følsomme oplysninger kan behandles, når dette er nødvendigt af hensyn til væsentlige samfundsinteresser, ved at anvende automatisk ansigtsgenkendelse i forbindelse med afholdelse af herrefodboldslandskampe i Parken.

Der gælder et forbud mod behandlingen af biometrisk data i GDPR artikel 9, stk. 1. Efter databeskyttelseslovens § 7, stk. 4 skal Datatilsynet meddele tilladelse til behandlingen af biometrisk data, når behandlingen sker af andre end offentlige myndigheder.

I december 2024 fik F.C. København tilladelse til at gøre brug af automatisk ansigtsgenkendelse. Tilladelsen gjaldt dog kun klubbens kampe og ikke øvrige arrangementer.

Som noget nyt fik også Dansk Boldspil-Union tilladelse til at anvende ansigtsgenkendelse. Tilladelsen til Dansk Boldspil-Union blev givet, da de i fællesskab med F.C. København var dataansvarlige for håndteringen af personoplysninger, når fodboldlandskampe foregik i Parken. Tilladelsen blev givet under forudsætning af, at F.C. København og Dansk Boldspil-Union forud for behandlingen skulle foretage en konsekvensanalyse.

Formålet med tilladelsen var at håndhæve regler om klubkarantæner og generelle karantæner som følge af fodboldkampe.

Læs Datatilsynets pressemeddelelse her: Datatilsynet godkender ansigtsgenkendelse til fodboldlandskampe i Parken

Datatilsynet og Digitaliseringsstyrelsen udgiver en fælles vejledning

Det danske datatilsyn (»Datatilsynet«) og den danske Digitaliseringsstyrelse (»Digitaliseringsstyrelsen«) offentliggjorde den 15. maj 2025, at de i fællesskab har lavet vejledningen »Brug af cookies og lignende teknologier« og et tillæg tiltænkt organisationer, der gør brug af cookies eller lignende teknologier.

Udarbejdelsen af vejledningen skete med henblik på at hjælpe disse organisationer med at overholde gældende lovgivning vedrørende cookies og databeskyttelse. I mange tilfælde finder den danske bekendtgørelse nr. 1148 af 9. december 2011 (»Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr«) og databeskyttelsesreglerne anvendelse sideløbende. Vejledningen skulle derfor hjælpe organisationerne med at sondre mellem reglerne og danne en ensartet forståelse, som muliggjorde en smidig implementering af en lovlig samtykkeløsning.

For at opfylde formålet, indeholder vejledningen blandt andet en gennemgang af de vigtigste regler i Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr og GDPR, praktiske råd, eksempler, samt en gennemgang af potentielle vanskeligheder.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/maj/datatilsynet-og-digitaliseringsstyrelsen-udgiver-en-faelles-vejledning

Læs Datatilsynets vejledning her: https://www.datatilsynet.dk/Media/638829899950476628/F%C3%A6llesvejledning%20med%20DIGST%20-%20Cookie%20og%20lignende%20teknologier.pdf

Opdatering af vejledning om håndtering af brud

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 20. maj 2025, at vejledningen om håndtering af brud på persondatasikkerheden var blevet opdateret.

I sommeren 2024 udvidede Datatilsynet den første del af vejledningen, hvor de i den forbindelse tilføjede eksempler på tilfælde med brud på persondatasikkerheden.

Den resterende del opdaterede Datatilsynet for nyligt. Det drejede sig om afsnit vedrørende anmeldelse til Datatilsynet samt om underretning af de(n) registrerede. Den nye opdatering dækkede både over indhold, layout, eksempler og henvisninger.

Læs Datatilsynets pressemeddelelse her: Opdatering af vejledning om håndtering af brud

Læs Datatilsynets vejledning her: Håndtering af brud på persondatasikkerheden.pdf

Fælles erklæring fra de nordiske datatilsyns møde i Thorshavn

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 26. maj 2025 detaljer fra det årlige nordiske møde i Thorshavn mellem datatilsynene i de nordiske lande, hvor det danske og færøske datatilsyn var værter.

Mødets primære formål var erfaringsudveksling og koordinering på tværs af de nordiske lande. Fokus var på brugen af kunstig intelligens i retshåndhævelse samt effektiviseringen af sagsbehandling, It-sikkerhed og håndtering af sikkerhedsbrud. Der blev også diskuteret behovet for klare mandater og ressourcer til at håndtere komplekse databeskyttelsesspørgsmål og deling af erfaringer om behandlingen af børn og unges personoplysninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/maj/nordiske-datatilsyn-vedtager-faelles-erklaering-om-kunstig-intelligens-og-it-sikkerhed

Nye foranstaltninger skal styrke sikkerheden i it-systemer hos Datatilsynet

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 28. maj 2025, at de tilføjede to nye foranstaltninger med henblik på forebyggelse af brud på sikkerhed i tilfælde af hacking.

Udvidelsen af foranstaltninger udsprang af en stigning i antallet af sikkerhedsbrud forårsaget af hacking. En sikkerhedskonsulent hos Datatilsynet bemærkede, at mange af de sikkerhedsbrud, som Datatilsynet modtog, kunne have været undgået, hvis de netop tilføjede foranstaltninger var blevet fulgt. På den baggrund tilføjede Datatilsynet foranstaltningerne »Sikkerhedsmæssig styring og vedligeholdelse af software« og »Netværkssegmentering« til deres foranstaltningskatalog.

»Sikkerhedsmæssig styring og vedligeholdelse af software« er en forebyggende foranstaltning, der skal beskytte imod ondsindet brug af software ved dels at vedligeholde softwaren sikkerhedsmæssigt samt isolere softwaren i størst muligt omfang.

»Netværkssegmentering« opdeler et netværk i flere isolerede segmenter og begrænser i højere grad kommunikation med andre dele af netværkets segmenter. På den måde mindskes risikoen for, at et sikkerhedsbrud i et segment påvirker et andet segment med følsomt og beskyttelsesværdigt data.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/maj/nye-foranstaltninger-skal-styrke-sikkerheden-i-it-systemer

Læs om foranstaltningen »Sikkerhedsmæssig« styring og vedligehold af software her: Sikkerhedsmæssig styring og vedligehold af software

Læs om foranstaltningen »Netværkssegmentering« her: Netværkssegmentering

Udvidet DPO-side med praksisnær viden

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 17. juni 2025 en opdatering vedrørende deres side om databeskyttelsesrådgivere (»DPO’er«), som både var tiltænkt nye DPO’er og DPO’er med erfaring.

Den nye opdatering gav et overblik over DPO’ens rolle og opgaver. Formålet med opdateringen af DPO-siden var at gøre information, inspiration og støtte mere tilgængeligt for DPO’er i deres daglige arbejde.

Som noget nyt gav DPO-siden adgang til videopodcast, hvor DPO’er delte erfaringer og indsigt, FAQ, som gav svar på de mest almindelige spørgsmål, gode råd samt vejledninger og links.

Læs pressemeddelelsen fra Datatilsynet her: Udvidet DPO-side med praksisnær viden

Datatilsynet og Digitaliseringsstyrelsen har udvalgt to AI-projekter til anden runde af den regulatoriske sandkasse

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 18. juni 2025 hvilke to AI-projekter, som Datatilsynet og den danske Digitaliseringsstyrelse (»Digitaliseringsstyrelsen«) havde udvalgt til andet forløb af den regulatoriske sandkasse.

Af meddelelsen fremgår, at der i alt var 18 ansøgninger. Blandt disse ansøgninger blev Børns Vilkår og BrainCapture udvalgt.

Projektet hos Børns Vilkår gik ud på at udvikle en barnesimulator, som kunne anvendes til at øve svære samtaler med børn og en coachboat, som gav feedback på en sådan samtale med barnesimulatoren.

Projektet hos BrainCapture gik ud på at fremstille en AI-løsning, der kunne fortolke EEG-målinger og klassificere disse i normale og abnormale målinger. Dette ville give patienter mulighed for en hurtigere og mere smidig diagnosticering af neurologiske lidelser.

Datatilsynet og Digitaliseringsstyrelsen lagde ved sit valg af projekter særligt vægt på, at den viden, som opstod i samarbejde med den udvalgte virksomhed eller myndighed, skulle resultere i mest mulig værdi for andre aktører og samfundet.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/jun/to-ai-projekter-udvalgt-til-anden-runde-af-den-regulatoriske-sandkasse

Datatilsynet har offentliggjort deres årsberetning for 2024

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 26. juni 2025 deres årsberetning for 2024. Årsberetningen belyste centrale indsatser fra Datatilsynet som fandt sted i året.

Årsberetningen præsenterede Datatilsynets arbejde inden for områderne Rådgivning og vejledning, Høring over lovforslag, Tilsyn, Anmeldelser af brud på persondatasikkerheden, Tilladelser, Internationalt arbejde og Om Datatilsynet. I årsberetningen fremgik blandt andet Datatilsynets nye vejledninger og opdateret praksis fra 2024, Datatilsynets særlige fokus på tilsyn med brugen af kunstig intelligens, samt Datatilsynets generelle fokus på rådgivning og understøttelse af borgere og dataansvarlige.

Læs pressemeddelelsen fra Datatilsynet her: Datatilsynets årsberetning 2024 er offentliggjort

Læs årsberetningen fra Datatilsynet her: Datatilsynets årsberetning 2024.pdf