Gå til hovedindhold
Digitalisering og teknologi
Databeskyttelse

Databeskyttelse og informationssikkerhed

KL hjælper kommunerne med at implementere databeskyttelsesreglerne gennem vejledninger, skabeloner og kurser.

Ældre end 12 mdr.

Indhold

    KL hjælper kommunerne med at implementere de nye regler gennem vejledninger og skabeloner, Sikkerhedsprogrammet og kurser. I den forbindelse har KL udviklet en række materialer og værktøjer, som kommunerne kan gøre brug af i arbejdet med databeskyttelse, cyber- og informationssikkerhed mm. Blandt disse materialer findes viden om regler, hensigtsmæssig adfærd, den risikobaserede tilgang, drejebøger der kan understøtte det kommunale arbejde med informationssikkerhed og beredskab, en rejsefortælling om roller og ansvar samt korte interaktive webkurser.

    Alle materialer og værktøjer kan findes på KL's videncenter under Databeskyttelse, cyber- og informationssikkerhed.

    KL´s Videncenter for Digitalisering og Teknologi

    Information om databeskyttelsesforordningen

    Forordningen betyder en række administrative opgaver for kommunerne. Læs mere herunder

    Benspændskatalog

    KL offentliggjorde i januar 2020 det såkaldte "GDPR-benspændskatalog". Kataloget skulle skabe opmærksomhed omkring de udfordringer, kommunerne oplevede ved implementeringen af databeskyttelsesforordningen, GDPR.

    KL's benspændskatalog

    National evaluering af databeskyttelsesreglerne

    I april 2020 satte Justitsministeren en national evaluering af databeskyttelsesreglerne i gang. Med bidrag fra 71 kommuner sendte KL i oktober 2020 høringssvar til Justitsministeriets evaluering.

    Hent KL's høringssvar:

    Følgebrev.pdf

    Bilag 1 Kommunernes 10 højest prioriterede GDPR-problemstillinger.pdf

    Bilag 2 GDPR-udfordringer og løsninger.pdf

    Justitsministeriet har i efteråret 2022 gennemført to supplerende høringer til den nationale evaluering af databeskyttelsesreglerne. KL har indsendt høringssvar hertil i oktober og november 2022:

    Hent KL's supplerende høringssvar:

    Supplerende høringssvar om rollefordelingen som dataansvarlig og databehandler.pdf

    Supplerende høringssvar om udfordringer mht. samspillet mellem databeskyttelsesreglerne, Forvaltningsretlige regler, den sociale retssikkerhedslov og sundheds-, social- og beskæftigelseslovgivningen.pdf

    Evalueringsrapporter

    Justitsministeriet har offentliggjort resultaterne af evalueringen i to delrapporter i henholdsvis januar 2021 og juli 2021.

    Hent Justitsministeriets delrapporter:

    Delrapport om national evaluering af databeskyttelsesreglerne (ft.dk)

    Delrapport II om national evaluering af databeskyttelsesreglerne (ft.dk)

    Datatilsynets bidrag til delrapport II (ft.dk)

    Det samlede materiale til delrapport II (ft.dk)

    Resultaterne af den nationale evaluering

    KL foreslår i høringssvaret, at Justitsministeriet to år efter evalueringen igen gennemfører en national evaluering. - For at vurdere, om de tiltag, særligt vejledningstiltag, der bliver sat i værk som følge af evalueringen har virket efter hensigten. Eller om der er behov for i EU-regi at bede om forenkling af reglerne.
    Som afsæt for den videre dialog herom har KL har i februar 2022 udarbejdet en status på de 76 GDPR-udfordringer, som KL på vegne af kommunerne har sendt til Justitsministeriet som bilag 2 til KL´s høringssvar. Den udarbejdede status tager udgangspunkt i Justitsministeriets og Datatilsynets evalueringsrapporter men henviser også til afklaringer, som foreligger på grundlag af afgørelser og vejledninger fra Datatilsynet.

    Status på kommunernes input til den nationale evaluering af GDPR.pdf

    EU-domstolen har i juli 2020 truffet afgørelse i den såkaldte "Schrems II-sag". Afgørelsen har betydning for kommunernes aftaler med deres databehandlere, når der overføres persondata til USA og andre tredjelande, fx via cloud-løsninger.

    Hvis kommunerne via deres databehandlere overfører data om borgerne til tredjelande, dvs. lande uden for EU og EØS, skal kommunerne sikre sig, at der foreligger et særligt juridisk grundlag for overførslen. Det såkaldte "overførselsgrundlag". Det følger af reglerne i databeskyttelsesforordningen. Overførsler til tredjelande sker typisk, når databehandleren anvender en cloud-løsning.

    Schrems II-dommen har to væsentlige konsekvenser for overførsler til tredjelande:

    1) Ift. overførsler til USA

    EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte "Privacy Shield"-ordning (efterfølgeren til "Safe Harbour") ikke er et gyldigt overførselsgrundlag.

    Domstolen har vurderet, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA´s lovgivning om national sikkerhed mv., som giver myndighederne særlige beføjelser i forhold til adgangen til data.

    Afvisningen af Privacy Shield som gyldigt overførselsgrundlag betyder, at man som dataansvarlig skal anvende et andet overførselsgrundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se dog pkt 2 nedenfor.

    2) Ift. overførsler til tredjelande generelt, herunder til USA

    EU-domstolen stiller imidlertid i dommen yderligere krav i forhold til brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller andre tredjelande. Som dataansvarlig skal man kortlægge, om lovgivningen og praksis i de enkelte tredjelande respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. – Sådan at overførselsgrundlaget i praksis er effektivt. Og dette skal ske i forhold til de specifikke dataoverførsler til det enkelte tredjeland.

    Og hvis det ikke er tilfældet, skal man ligeledes afklare, hvilke supplerende foranstaltninger der skal aftales med leverandøren for at opnå et effektivt beskyttelsesniveau.

    KL´s anbefaling

    Det er KL´s anbefaling, at kommunerne følger de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds "Henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveauet for beskyttelse af personoplysninger".

    KL anbefaler dog, at kommunerne ikke bruger resurser på at vurdere hver enkelt tredjelands databeskyttelsesniveau i forhold til de enkelte dataoverførsler, herunder lovgivning og praksis på området. I stedet anbefaler KL kommunerne at tage udgangspunkt i, at alle ikke godkendte tredjelande har problematisk lovgivning og/eller praksis. Sådan som Datatilsynet lægger op til i deres cloud-vejledning, s. 20.

    Det betyder, at kommunerne i forhold til tredjelandsoverførsler bør:

    1. skabe sig overblik over alle de behandlingssituationer, hvor kommunens persondata overføres til tredjelande.

      Dette kan ske ved at gennemgå sine databehandleraftaler, hvor behandlingernes lokalitet og instruks for tredjelandsoverførsler er reguleret.

    2. få overblik over, hvilket overførselsgrundlag der er anvendt for overførslerne (tredjelande godkendt af Kommissionen, jf. GDPR artikel 45, (se Datatilsynets hjemmeside om tredjelandsoverførsler), EU-Kommissionens standardkontraktsbestemmelser eller Privacy Shield ift. overførsler til USA).

      Overførselsgrundlaget for tredjelandsoverførslerne vil også fremgå af databehandleraftalerne.

    3. anvende EU-Kommissionens standardkontraktsbestemmelser til at få aftalt nye overførselsgrundlag med deres leverandører/databehandlere, hvis nogle af kommunens overførsler har været baseret på Privacy Shield-ordningen i USA.

      Her kan kommunerne bede deres leverandører om udkast til standardkontraktsaftale.

    4. vurdere, om der er forhold i de tredjelande, som leverandøren (eller leverandørens underdatabehandler) overfører data til, som gør, at standardkontraktsaftalen ikke vil være databeskyttelsesmæssigt effektiv.

      Her kan kommunerne tage udgangspunkt i, at alle ikke godkendte tredjelande har problematisk lovgivning og/eller praksis som gør, at standardkontraktsaftalen ikke vil være databeskyttelsesmæssigt effektiv, jf. Datatilsynets cloud-vejledning, s. 20.

      Vurderingen skal kun foretages, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt. Tredjelande godkendt af EU-Kommissionen, jf. artikel 45, skal ikke undersøges nærmere. Der er desuden ikke grund til at bede leverandørerne/databehandlerne om information om USA, eftersom Schrems II-dommen har foretaget vurdering af forholdene i USA og fundet, at landets lovgivning er problematisk.

    5. drøfte med deres leverandører/databehandlere, om der er behov for at indgå aftale om supplerende foranstaltninger på baggrund af leverandørens vurdering af forholdene i de pågældende tredjelande. Drøftelserne bør dokumenteres.

      Dette gælder kun, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt, og det er vurderingen, jf. punkt 4), at standardkontraktsaftalens effektivitet vil være påvirket af et givent tredjelands forhold, herunder lovgivning og praksis.

      a) I forhold til overførsler til USA anbefaler KL

      At der ikke indgås nye databehandleraftaler om dataoverførsler til USA, når leverandøren har behov for adgang til de overførte data i klartekst. Idet der pt. ikke findes supplerende tekniske foranstaltninger, der vil kunne sikre et tilstrækkeligt beskyttelsesniveau herfor. Der vil dog i visse situationer kunne ske lovlige dataoverførsler til USA.

      Det er tilfældet, såfremt:

      - Der alene er tale om overførsel af offentligt tilgængelige data eller

      - Leverandøren ikke tidligere har modtaget udleveringsanmodninger fra de amerikanske myndigheder, og kommunen kan dokumentere, at leverandøren ikke er underlagt et forbud om at oplyse om udleveringsanmodningerne eller

      - Leverandøren tidligere har modtaget udleveringsanmodninger, men anmodningerne ikke har har omfattet de oplysninger, man påtænker at overføre, og kommunen kan dokumentere, at oplysningerne ikke har været omfattet af udleveringsanmodningerne.

      I disse situationer vil der kunne indgås nye aftaler med instruks om overførsler af data til USA

      b) I forhold til brug af amerikanske leverandører inden for EU anbefaler KL

      At kommunerne gennemgår deres databehandleraftaler med deres amerikanske leverandører for at sikre sig, at aftalerne ikke via deres instruks eller i øvrigt giver mulighed for tilsigtede dataoverførsler til USA (medmindre der er tale om en af de tre undtagelsessituationer nævnt under a).

      Eksempelvis bør kommunerne sikre sig, at aftalerne ikke indeholder brede formuleringer, der giver leverandøren mulighed for at overføre data, fx "hvis det er nødvendigt for at overholde lovgivning eller bindende myndighedsanmodninger”. Der bør kun være mulighed for overførsler til USA, hvis det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, jf. databeskyttelsesforordningens art. 28, stk. 3, litra a.

      At kommunerne udarbejder en vurdering af risikoen for de registrerede ved, at leverandøren, utilsigtet og i strid med det, der fremgår af databehandleraftalen, udleverer data som følge af en udleveringsanmodning fra de amerikanske myndigheder. Og at der på baggrund af risikovurderingen fastsættes passende sikkerhedsforanstaltninger, fx aftales aftalevilkår, hvorefter leverandøren skal anfægte anmodningen. Se nærmere i Datatilsynets cloud-vejledning, eksempel 14, s. 30-31.

    6. aftale med deres leverandører/databehandlere, hvordan leverandøren giver information til kommunen, såfremt der sker ændringer i forholdene i de tredjelande, som der er indgået aftale om at overføre data til. Sådan at kommunen kan forholde sig til forholdene, og kommunen og leverandøren eventuelt kan aftale yderligere, supplerende foranstaltninger, jf. punkt 4) og 5) ovenfor.

    Opdateret 8. juni 2022.

    Kommunerne skal være opmærksomme på de databeskyttelsesretlige regler, når de opretter kommunesider på Facebook. Her kan du læse om behovet for at indgå en databehandleraftale og en aftale om fælles dataansvar med Facebook.

    Databehandleraftaler med Facebook

    Når kommunen opretter en kommuneside på Facebook, er kommunen dataansvarlig for den behandling af personoplysninger, der sker på siden. Og Facebook er som leverandør af Facebook-platformen som udgangspunkt databehandler for kommunen. Det betyder, at kommunerne skal indgå en databehandleraftale med Facebook - Også selvom Facebook er gratis at anvende.

    Facebook har lavet et bud på en databehandleraftale for behandlingen af kommunernes data. Det er KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale.

    Facebook har på deres hjemmeside offentliggjort følgende databehandlervilkår:

    Facebooks databehandlervilkår

    Der gælder ikke nogen krav til, hvordan en databehandleraftale skal være udformet. Vilkårene for databehandling og vilkårenes henvisning til Facebooks produkt-/tjenestevilkår, herunder datapolitik, vil derfor i udgangspunktet godt kunne udgøre den databehandleraftale, som kommunerne skal indgå med Facebook.

    KL har gennemgået Facebooks databehandlervilkår. Den fulde gennemgang kan du læse i dokumentet nedenfor.

    KL's vurdering af Facebooks databehandlervilkår.pdf

    Opsamling

    Samlet set er det KL's vurdering, at det er tvivlsomt, om Facebooks databehandlervilkår lever op til kravene til indholdet af en databehandleraftale. Vilkårene har nogle indholdsmæssige mangler, men væsentligst er, at formålet med en databehandleraftale er at skabe klarhed over databehandlerens rolle og, at denne kun kan behandle oplysninger på vegne af de dataansvarlige. Aftalen skal således tydeliggøre, at databehandleren ikke selv kan definere, til hvilket formål og med hvilke midler, der skal ske behandling af personoplysninger.

    KL ser, at Facebooks databehandlervilkår skaber tvivl om, hvilken rolle Facebook reelt påtager sig. Kommunerne gives som dataansvarlige reelt ikke nogen instruktionsbeføjelse, i stedet må kommunerne acceptere behandlinger og vilkår, fx i forhold til sletning og brugen af data, som Facebook definerer. Hermed skabes der tvivl om databehandlerens rolle og forpligtelser.

    Imidlertid afspejler vilkårene den reelle ansvarsfordeling mellem kommunerne og Facebook. Og Datatilsynet er i deres svar til KL´s GDPR-benspænd også enige i, at der reelt er tale om et fælles dataansvar mellem kommunerne og Facebook. Og at kommunerne derfor i stedet skal indgå en aftale om fælles dataansvar med Facebook.

    KL anbefaler

    KL mener, at kommunerne skal indgå en aftale om fælles dataansvar med Facebook. Datatilsynet er opmærksom på, at det kræver, at Facebook medvirker til en løsning, og Datatilsynet vil følge op på dette. KL anbefaler kommunerne at afvente Datatilsynets afklaring af, hvordan kommunerne skal få indgået en aftale om fælles dataansvar med Facebook.

    Kommunerne kan undgå at skulle indgå en aftale om fælles dataansvar med Facebook. Det kræver, at kommunerne sikrer, at der ikke optræder personoplysninger på deres Facebook-side. Dette kan kommunerne gøre ved:

    helt at undlade at lægge personoplysninger (herunder billeder af genkendelige personer) på siden. Det er ikke nok, at kommunerne har indhentet samtykke til behandlingen af personoplysningerne på kommunens side
    lukke for indbakke-/beskedfunktionen sådan, at borgerne ikke kan skrive til kommunen via Facebook.
    Datatilsynet har tidligere udtalt sig om, hvordan man sikrer, at der ikke behandles oplysninger på ens Facebook-side, som man bliver dataansvarlig for.

    Læs Datatilsynets afgørelse

    Aftaler om fælles dataansvar med Facebook ift. "Indblik i side"

    Når kommunerne opretter kommunesider (såkaldte "fansider" på Facebook) får kommunerne automatisk adgang til et Facebook-statistikværktøj, Facebook-Insights ("Indblik i side"). Værktøjet giver kommunen adgang til anonyme statistiske informationer om, hvem der besøger kommunens Facebook-side. EU-domstolen har vurderet, at dette betyder, at kommunen sammen med Facebook er fælles dataansvarlig for de personoplysninger, som bliver indsamlet om de besøgende på kommunens side. KL stiller sig tvivlsom heroverfor ift. den nuværende indretning af værktøjet. Det er derfor også tvivlsomt, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook.

    KL's anbefaling

    Det er tvivlsomt, om kommunerne ud fra den nuværende indretning af Indblik i side reelt kan siges at være fælles dataansvarlige med Facebook. Det er derfor også tvivlsomt, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook i forhold til dette værktøj.

    KL vil anbefale, at kommunerne i forhold til dataansvaret for behandlingerne i Indblik i side-modulet ikke indgår en særskilt aftale om fælles dataansvar med Facebook.

    EU-dommen

    Når kommuner og andre administratorer opretter fansider, giver de Facebook mulighed for at placere cookies på de besøgendes computere. Og dermed kan Facebook udarbejde statistikkerne. EU-domstolen har vurderet, at dette betyder, at kommunen sammen med Facebook er fælles dataansvarlig for de personoplysninger, som bliver indsamlet om de besøgende på kommunens side. Det skyldes, at EU-domstolen vurderer, at kommunen er med til at afgøre til hvilket formål og med hvilke hjælpemidler, der foretages behandling af personoplysninger om de besøgende på kommunens side. Det fremgår af en dom fra EU-Domstolen fra 5. juni 2018. 

    Datatilsynet er kommet med en udtalelse om konsekvenserne af dommen bl.a., at sideadministratorer vil skulle indgå en aftale om fælles dataansvar med Facebook. En sådan aftale vil skulle indeholde en ansvarsfordeling med Facebook, særligt i forhold til registreredes rettigheder.

    Læs Datatilsynets vurdering

    Facebook har også udtalt sig om dommen og anfører, at Indblik i side har ændret sig meget siden 2011.

    Læs Facebooks udtalelse

    Dommen fra EU-Domstolen forholder sig til indretningen af Facebook-Insights-værktøjet, sådan som det så ud i 2011, som Facebook også påpeger i deres udtalelse. Det fremgår af dommen, at "… oprettelsen af en fanside … indebærer, at administratoren foretager en indstilling … som har indflydelse på behandlingen af personoplysningerne med henblik på udarbejdelsen af statistikker på grundlag af besøg på fansiden. Denne administrator kan ved hjælp af de filtre, som Facebook stiller til rådighed, definere de kriterier, som statistikkerne skal udarbejdes på grundlag af, og angive de kategorier af personer, som Facebook skal indsamle personoplysninger om." (Præmis 36).

    KL's vurdering
    KL har været i kontakt med flere kommuner, som har fansider på Facebook. Kommunerne oplyser, at kommunerne ikke i Indblik i side-modulet kan anmode om at få vist – og dermed stille krav om at der behandles – specifikke data om de besøgende på fansiden, fx informationer om de besøgendes indkøbsadfærd. I modulet stilles kun standardoplysninger om de besøgende til rådighed for kommunen. KL stiller sig derfor tvivlsom over for, om kommunerne ud fra den nuværende indretning af Indblik i side reelt kan siges at være fælles dataansvarlige med Facebook. KL er derfor også tvivlende over for, om der er behov for, at kommunerne indgår en aftale om fælles dataansvar med Facebook i forhold til dette værktøj.

    Facebook har udarbejdet en aftaletekst om dataansvaret, som kommunerne automatisk er omfattet af, når de opretter en kommuneside. Af aftaleteksten fremgår det, at Facebook påtager sig hovedansvaret for behandlingen af de statistiske data, bla. ansvaret for registreredes rettigheder, herunder oplysningspligten, og ansvaret for behandlingssikkerhed. Og at Facebook vil gøre hovedindholdet af aftaleteksten tilgængeligt for de besøgende.

    Læs Facebooks aftaletekst

    KL vil anbefale, at kommunerne i forhold til dataansvaret for behandlingerne i Indblik i side-modulet ikke indgår en særskilt aftale om fælles dataansvar med Facebook. Kommunerne kan evt. henvise til Facebooks aftaletekst.

    Forordningen stiller krav om, at der skal indgås en databehandleraftale med alle, der behandler data på vegne af kommunen.

    Databehandlerskabelon

    I regi af KL´s "Partnerskab om informationssikkerhed" er der i 2022 udarbejdet en standardiseret udfyldelse af Datatilsynets standardkontraktsbestemmelser. Skabelonen skal hjælpe kommunerne i arbejdet med at indgå databehandleraftaler og understøtte samarbejdet om kommunernes databehandleraftaler i regi af Det fælleskommunale Databehandlersekretariat (DBS).

    DBS vedligeholder den forudfyldte skabelon og den tilhørende vejledning. Ligesom der vil blive afholdt kurser i brugen af skabelonen for medlemskommunerne i DBS.

    Hent skabelon og den tilhørende vejledning (KL Videncenter)

    KL, Danske Regioner og Forhandlingsfællesskabet har udarbejdet en standardaftale med henblik på håndtering af dataansvaret ift. personoplysninger, som behandles og opbevares af tillidsrepræsenter, når tillidsrepræsentanten anvender et it-system, som arbejdsgiver har stillet til rådighed for tillidsrepræsentanten, ifm. dennes varetagelsen af sit tillidshverv.

    Der skal ifølge Datatilsynet indgås en aftale mellem den faglige organisation (som dataansvarlig for tillidsrepræsentantens behandlinger) og den kommunale arbejdsgiver om håndtering af databeskyttelsesretlige problemstillinger, hvis tillidsrepræsentanten opbevarer materiale, indeholdende personoplysninger, på et af arbejdsgivers it-systemer, fx i mailsystemet.

    Aftalen håndterer alene spørgsmål i relation til reglerne om databeskyttelse og er således ikke en del af det kollektive fagretlige system. Aftalen indgås lokalt, direkte mellem den enkelte kommune og de faglige organisationer (som dataansvarlige).

    Kommunen kan beslutte at anvende standardaftalen som grundlag for denne lokale aftaleindgåelse. Vi henviser i den forbindelse til følgeskrivelsen til standardaftalen, som indeholder en nærmere beskrivelse af standardaftalens rammer og forudsætninger samt en beskrivelse af processen ift. indgåelse af standardaftalen.

    KL og Forhandlingsfællesskabet anbefaler, at de lokale parter anvender standardaftalen, som den foreligger.

    GDPR-aftale underskrevet af FF - med links til følgeskrivelse.pdf

    Følgeskrivelse til standardaftale om TR's anvendelse af it-system.pdf

    Spørgsmål til standardaftale og følgeskrivelse kan rettes til Inge Buhl; ifb@kl.dk

    Databeskyttelsesforordningen stiller et krav om, at kommunerne skal udarbejde og opbevare fortegnelser over alle behandlinger af personoplysninger.

    For at lette kommunernes arbejde med at efterleve fortegnelseskravet har KL udarbejdet standardfortegnelser, som alle kommuner kan bruge. KL har desuden udarbejdet en guide til udfyldelse af standardfortegnelserne. Det er KL's ønske, at kommunernes administrative opgave med standardfortegnelserne lettes mest muligt.

    Standardfortegnelserne er opdateret med nye KLE-numre 16. marts 2020. Efter denne dato skal kommunerne selv opdatere fortegnelserne med nye KLE-numre.

    Hent standardfortegnelserne og guide til udfyldelse (Videncenter)

    Opdateret vejledning om fortegnelseskravet

    Datatilsynet har i august 2020 opdateret vejledningen om fortegnelseskravet. Den opdaterede vejledning stiller krav om en væsentlig øget detaljeringsgrad i fortegnelserne ift. den oprindelige vejledning fra 2018. Det er imidlertid KL´s opfattelse, at kommunerne ikke som følge af den opdaterede fortegnelsesvejledning skal foretage ændringer i standardfortegnelserne, medmindre disse justeres.

    Datatilsynet har i sit bidrag til den nationale evaluering af databeskyttelsesreglerne, s. 27, oplyst følgende om de øgede krav:

    "Datatilsynet kan ikke afvise, at der vil være dataansvarlige, der vil skulle foretage visse ændringer i deres fortegnelser efter artikel 30 som følge af tilsynets ændringer fra august 2020. Datatilsynet forventer imidlertid ikke, at dataansvarlige – som følge af ændringerne – genåbner deres fortegnelse. Datatilsynet forventer, at eventuelle tilpasninger eller justeringer af fortegnelsen sker løbende, når dokumenterne alligevel skal justeres eller ajourføres."

    Sidst opdateret: 8. oktober 2024

    Kontakt

    Chefkonsulent

    Karin Hoffmann-Hansen

    Jura & EU

    Telefon: +45 3370 3261

    E-mail: kahh@kl.dk

    Chefkonsulent

    Louise Marie Jespersen

    Digitalisering & Teknologi

    Telefon: +45 3370 3025

    E-mail: lomj@kl.dk