Seneste Nyt

Særlige fokusområder for Datatilsynets tilsynsaktiviteter i 2024

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Arbejdsfeltet er bredt og varieret, og det spænder fra at vejlede og rådgive til at behandle klagesager (som også er en del af Datatilsynets tilsynsaktiviteter) og ansøgninger om tilladelse til at behandle personoplysninger, ligesom man også hvert år gennemfører forskellige andre typer af tilsynsaktiviteter hos myndigheder og virksomheder. Datatilsynet deltager endelig også aktivt i bl.a. det fælles europæiske samarbejde om databeskyttelse.

- Skrevet af Datatilsynet

I 2024 vil Datatilsynet særligt fokusere på disse tilsynsaktiviteter, der kan have interesse for FAGA's medlemmer:

Brug af kunstig intelligens og automatisering:

Udviklingen og udbredelsen af kunstig intelligens (”AI”) er vokset eksponentielt gennem de seneste par år. Denne udvikling er bl.a. særligt drevet af udvikling inden for såkaldt generativ AI, som bliver spået til at få en grundlæggende betydning for måden, vi alle arbejder på. Teknologien indebærer dog særlige risici for de borgere, hvis oplysninger bliver behandlet som led i udvikling eller brug af disse løsninger. Et andet område, hvor AI også i stigende omfang bliver udbredt, er inden for sundhedssektoren, hvor løsninger bl.a. bruges som beslutningsstøtte i patientbehandlingen. Brug af sådanne løsninger indebærer særligt i sundhedssektoren store risici for borgerne.

Foruden kunstig intelligens automatiserer private og offentlige organisationer sine forretnings- og arbejdsgange. Sådanne Robotic Proces Automation-løsninger indebærer generelt færre risici for de registrerede, idet løsningerne arbejder efter en foruddefineret logik, men kan efter omstændighederne introducere særlige sikkerhedsmæssige problemstillinger.

Datatilsynet vil derfor i 2024 fastholde sit fokus på kunstig intelligens og føre tilsyn med offentlige og private organisationers brug af kunstig intelligens, herunder særligt generativ AI løsninger og AI-løsninger inden for sundhedssektoren, ligesom tilsynet vil føre tilsyn med brug af automatiseringsløsninger.

Overvågning af ansatte:

Datatilsynet vil i 2024 også have fokus på overvågning af ansatte og vil i den forbindelse foretage et tilsyn i form af en kortlægning af omfanget og karakteren af den overvågning, der finder sted med henblik på kontrol af ansatte. Kortlægningen skal omfatte både private og offentlige arbejdsgivere.

Den registreredes ret til indsigt:

Det Europæiske Databeskyttelsesråd (EDPB) vedtog i oktober 2020 en koordinerede håndhævelsesramme (Coordinated Enforcement Framework (CEF) med det formål at koordinere fælles aktiviteter mellem de europæiske tilsynsmyndigheder og derved harmonisere og styrke håndhævelsen af GDPR. Den første fælles indsats blev iværksat i 2022 og omhandlede offentlige myndigheders brug af cloudservices. I 2023 deltog Datatilsynet i den koordinerede indsats om udpegning af databeskyttelsesrådgivere og deres rolle. Også i 2024 deltager Datatilsynet, hvor indsatsen kommer til at omhandle de dataansvarliges behandling af anmodninger om indsigt fra den registrerede.

Online og fysisk indkøb:

I onlinehandel har det i sagens natur altid været nødvendigt at behandle personoplysninger om kunderne, f.eks. for at levere den bestilte vare eller at sende kunderne relevante tilbud, hvis de har bedt om det. I stigende omfang er det dog også blevet muligt at gemme sine betalingskortoplysninger for at gøre det lettere at handle igen næste gang. 

Tilsvarende sker der i dag også behandling af personoplysninger, når kunderne handler i fysiske butikker. Det sker bl.a. ved brug af de såkaldte scan-og-betal apps, hvor en række detailhandel gør det muligt for kunderne at scanne deres varer undervejs og betale via appen og på den måde undgå den almindelige kassebetjening. 

Datatilsynet vil i 2024 bl.a. have fokus på, at behandling af personoplysninger som led i disse aktiviteter sker inden for rammerne af databeskyttelsesreglerne. 
Rettighedsstyring og forebyggelse af misbrug af adgang til personoplysninger   
Offentlige og private organisationer har – som dataansvarlige og/eller som databehandlere – et ansvar for at etablere et passende sikkerhedsniveau, når de behandler personoplysninger. Det indebærer, at der bl.a. skal træffes de fornødne tekniske og organisatoriske sikkerheds-foranstaltninger mod, at oplysningerne kommer til uvedkommendes kendskab fx som led i misbrug af adgangsrettigheder.

Datatilsynet har de senere år set mange eksempler på persondatabrud, hvor mangelfuld rettighedsstyring har forøget risikoen for misbrug af personoplysninger, fx fordi en hacker har fået bedre mulighed for at tilgå oplysninger inde i systemet eller hvor medarbejdere uberettiget tilgår personoplysninger af nysgerrighed eller for at opnå en form for personlig vinding uden risiko for opdagelse. Øget anvendelse af automatisering gennem RPA teknologi kan ligeledes øge risikoen for misbrug, hvis ikke der er styr på rettighedsstyringen. Systematisk rettighedsstyring, gode kontrolprocedurer og effektiv håndhævelse fra den dataansvarliges side er tiltag der er centrale i forebyggelsen af denne type misbrug. I 2024 har Datatilsynet derfor besluttet at sætte fokus på dette hos et antal offentlige og private dataansvarlige.

Læs hele artiklen med beskrivelse af samtlige fokusområder på datatilsynet.dk

 

Tilbage til oversigten