Datatilsynets tilsynsemner for 2026 – er din organisation klar?

09.01.26

Datatilsynet har netop offentliggjort sine planlagte tilsynsaktiviteter for 2026. I år er fokusområderne præget af målrettede indsatser i krydsfeltet mellem databeskyttelse og nye overvågningsteknologier, samt opfølgning på praksis om persondatasikkerhed, gennemsigtighed og oplysningspligt.

De konkrete fokusområder for 2026 er:

• Kunstig intelligens (AI) til overvågning og kontrol af borgere i pleje
• Måle- og overvågningsenheder til patientbehandling i hjemmet
• Danske hjemmesiders sporing af borgere
• Overvågning af ansatte
• Sikker anvendelse af auto-complete
• Tilsyn med store databehandlere
• Registreredes ret til gennemsigtighed og oplysninger
• Behandling af personoplysninger i fælleseuropæiske informationssystemer
• Tilsyn med behandlingen af PNR-oplysninger

Fokusområderne spænder bredt – fra overvågning af ansatte og brug af kunstig intelligens særligt over for sårbare persongrupper, til sporing på hjemmesider og sikkerhed ved e-mailkommunikation. Derudover vil Datatilsynet rette blikket mod store databehandlere og undersøge, om dataansvarlige reelt kan leve op til deres forpligtelser, når de benytter sig af de store spillere på markedet. For både private virksomheder og offentlige myndigheder er det afgørende at være opmærksom på disse områder, da manglende compliance kan medføre betydelige konsekvenser – både økonomisk og for omdømmet.

Vi har herunder lavet en oversigt over udvalgte emner, som Datatilsynet vil prioritere i 2026, og hvorfor de er relevante for din organisation.

Kunstig intelligens (AI) til overvågning og kontrol
Datatilsynet har i flere år haft fokus på AI, og i 2026 skærpes indsatsen med et særligt tilsyn i sundheds- og plejesektoren. Brugen af AI vokser, og tilsynet vil derfor koncentrere sig om løsninger, der træffer eller understøtter beslutninger tæt på den enkelte borger.

Anvendelsen af AI vil forudsætte, at der er taget stilling til blandt andet nødvendighed, proportionalitet og dataminimering. Tilsynene vil også rejse komplekse spørgsmål om gennemsigtighed og beskyttelse af de registreredes rettigheder og skal sikre, at AI anvendes ansvarligt og i overensstemmelse med GDPR. Datatilsynets fokus på AI kan derfor ses i sammenhæng med det nye Digital Omnibus-udspil fra EU, hvor man vil indarbejde specifikke behandlingshjemler i GDPR for brug og træning af AI-systemer. Digital Omnibus er stadig kun et forslag og er derfor ikke gældende ret.

Måle- og overvågningsenheder til patientbehandling i hjemmet
Datatilsynet vil føre tilsyn med brugen af internetforbundne måleinstrumenter og overvågningsudstyr i hjemmet ved patientbehandling i hjemmet. IoT-enheder som sensorer og kameraer kan være adgangspunkter til netværk og skabe betydelige sikkerhedsrisici.

Igen kan fokusområdet ses i samspil med Data Act, der i bredere forstand regulerer brugen af ”forbudne produkter” og ”relaterede tjenester” (inkl. IoT-enheder) og data, der udspringer herfra. Både som producent og udbyder af sådant udstyr er det derfor afgørende at sørge for, at der implementeres stærke tekniske og organisatoriske foranstaltninger.

Danske hjemmesiders sporing af borgere
Tilsynet fortsætter sit fokus på sporing i de registreredes hverdagsliv og vil denne gang have fokus på indsamling og eventuel videregivelse af personoplysninger gennem tracking-teknologier. Igen er dette også et område, der foreslås reguleret med Digital Omnibus, med en bestemmelse, der helt overordnet skal forenkle spørgsmålet om cookie-bannere.

Tilsynene er derfor en opfordring til at se på, om og hvordan din hjemmeside indhenter samtykke, hvilke leverandører I anvender og hvilke formål der indgår i behandlingen, samt om brugerne modtager transparent information og reelle valgmuligheder.

Overvågning af ansatte
Datatilsynet vil gennemføre tilsyn med arbejdsgiveres overvågning af sine ansatte og bygger dermed på en tidligere kortlægning fra 2024 om omfang og karakter af arbejdsgiveres kontrol af ansatte.

Vi forventer derfor, at dataansvarlige i forbindelse med tilsynene blandt skal kunne redegøre for hvilke data, der indsamles, til hvilke formål, og hvordan proportionalitet, relevans og transparens sikres. Uden at følgende er en udtømmende liste, kan overvågning fx ske i forbindelse med brug af DLP-tool, adgangskontrol til bygninger, videoovervågning, GPS-overvågning, brug af AI-løsninger, digital monitorering af arbejdsindsats/produktivitetssoftware, trivsels- og stressværktøjer, web- og app-overvågning samt anden logning. Der vil også være opmærksomhed på, om overvågningen sker løbende og bredt, og hvordan information, adgangsrettigheder og opbevaringsperioder er tilrettelagt. Dokumentation i form af politikker og retningslinjer vil derfor være oplagte at genbesøge.

Sikker anvendelse af auto-complete
Datatilsynet skærpede i 2023 sin praksis for brugen af auto-complete i mailprogrammer og har også udvidet sin vejledning på området. Baggrunden for tilsynet er blandt andet, at fejlforsendelser kan have store konsekvenser, samt at fejlforsendelser som følge af auto-complete fortsat udgør en stor andel af de anmeldte brud på persondatasikkerheden.

Som følge at dette emne vil det være oplagt at undersøge, om I har gennemført risikovurderinger for brugen af auto-complete, og om der er implementeret tekniske og organisatoriske foranstaltninger, der effektivt mindsker risikoen for forkerte modtagere – særligt hvis I behandler store mængder følsomme og fortrolige oplysninger, hvor konsekvenserne for de registrerede kan være alvorlige.

Tilsyn med store databehandlere
Når en organisation benytter store databehandlere til drift og shared services oplever nogle dataansvarlige, at det i praksis kan være svært at efterleve de forpligtelser, der følger med som dataansvarlig. Databehandlernes standardiserede løsninger og interne change management-processer kan begrænse den dataansvarliges mulighed for at stille individuelle krav og gennemføre nødvendige sikkerhedsforanstaltninger. Som dataansvarlig har man det juridiske ansvar for behandlingen af personoplysninger – også når det er outsourcet. Derfor er det afgørende at have styr på kontrakter, instrukser og kontrolmekanismer, så man kan dokumentere compliance og undgå risici. Store databehandlere, der leverer enterprisedrift og shared services vil komme under lup i 2026.

Registreredes ret til gennemsigtighed og oplysningspligt
Som led i en fælleseuropæisk indsats vil Datatilsynet kontrollere, om dataansvarlige overholder reglerne om gennemsigtighed og oplysningspligt. Den fælles indsats skal styrke harmonisering og fælles håndhævelse mellem de europæiske tilsynsmyndigheder.