Datatilsynet: Fokusområder og tilsynsaktivitet i 2026 – GDPR, AI og persondata

Fokusområderne afspejler en markant udvikling i brugen af kunstig intelligens (AI), automatisering, digital overvågning og komplekse databehandlerstrukturer.

For virksomheder betyder det, at GDPR‑compliance i 2026 i højere grad kræver dokumentation, risikovurderinger og teknisk forståelse – særligt hvor nye teknologier anvendes til behandling af personoplysninger.

Denne artikel giver et fagligt og praksisnært overblik over Datatilsynets fokusområder i 2026 og forklarer, hvad de betyder i praksis. 

1. Overvågning, nye teknologier og kunstig intelligens (AI)

Et centralt fokusområde i 2026 er anvendelsen af nye teknologier med overvågningspotentiale, herunder særligt AI‑baserede løsninger.

Datatilsynet retter opmærksomheden mod:

• AI‑systemer, der anvendes til overvågning, analyse eller beslutningsstøtte
• Brug af AI i sundheds‑ og plejesektoren, hvor der ofte behandles følsomme personoplysninger
• Systemer, der kan føre til automatiserede afgørelser eller profileringsrisici

AI‑løsninger kan give store effektiviseringsgevinster, men indebærer også betydelige databeskyttelsesrisici. I 2026 forventes det, at organisationer kan dokumentere:

• Lovligt behandlingsgrundlag
• Gennemførte DPIA’er (konsekvensanalyser)
• Forklarlighed og gennemsigtighed i AI‑modeller
• Klare roller mellem dataansvarlig og databehandler 

2. IoT, sensorer og overvågning i private rum

Datatilsynet har i 2026 også fokus på internetforbundne enheder (IoT) og sensorteknologier – særligt når de anvendes i borgeres hjem eller andre private omgivelser.

Det kan f.eks. være:

• Sensorer i pleje‑ og sundhedsløsninger
• Kameraer og overvågningsudstyr
• Medicinsk og velfærdsteknologisk udstyr

• Indsamlingen af data er nødvendig og proportional
• Der er truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger
• De registrerede modtager fyldestgørende information 

3. Overvågning og kontrol af medarbejdere

Overvågning af ansatte er fortsat et højt prioriteret fokusområde i 2026. Datatilsynet har gennem flere år konstateret en stigende brug af digitale kontrol‑ og overvågningsværktøjer på arbejdspladsen. Tilsynet ser bl.a. på:

• Logning af medarbejderes system‑ og mailadgang
• Overvågning af internetbrug og lokationsdata
• Brug af performance‑ og adfærdsanalyser

Arbejdsgivere skal i 2026 kunne dokumentere, at overvågning:

• Har et sagligt og legitimt formål
• Er nødvendig og proportional
• Er klart kommunikeret til medarbejderne 

4. Cookies, tracking og sporing på hjemmesider

Datatilsynet fortsætter i 2026 sit fokus på danske hjemmesiders brug af cookies og tracking‑teknologier. Særligt problematiske forhold omfatter:

• Manglende eller ugyldigt samtykke
• Dark patterns i cookie‑bannere
• Begrænsede muligheder for at fravælge sporing

Virksomheder forventes at kunne dokumentere:

• Korrekt samtykkeopsætning
• Klar adskillelse mellem nødvendige og ikke‑nødvendige cookies
• Overholdelse af både GDPR og ePrivacy‑regler

5. Databrud og brug af auto‑complete i mailsystemer

Et mere lavpraktisk, men fortsat alvorligt fokusområde i 2026 er databrud forårsaget af auto‑complete‑funktioner i mail‑ og kommunikationssystemer.

Datatilsynet modtager fortsat mange anmeldelser om:

• Fejlagtig fremsendelse af personoplysninger
• Utilsigtet deling af følsomme data

• Behandler store mængder persondata
• Håndterer følsomme eller fortrolige oplysninger

6. Tilsyn med store databehandlere og shared services

I 2026 intensiveres tilsynet med store databehandlere, herunder leverandører af cloud‑, platform‑ og shared service‑løsninger.

Datatilsynet vurderer bl.a. om:

• Databehandleraftaler er tilstrækkeligt detaljerede
• Databehandleren reelt understøtter den dataansvarliges compliance
• Sikkerhedsforanstaltninger lever op til risikoen

Dette er særligt relevant for koncerner, offentlige myndigheder og virksomheder med komplekse leverandørkæder.

7. Gennemsigtighed og registreredes rettigheder

Datatilsynet lægger i 2026 fortsat stor vægt på gennemsigtighed og korrekt opfyldelse af oplysningspligten. Det omfatter:

• Klare og forståelige privatlivspolitikker
• Tydelig information om formål, retsgrundlag og rettigheder
• Effektiv håndtering af indsigt, sletning og indsigelser

Manglende gennemsigtighed er et tilbagevendende kritikpunkt i Datatilsynets afgørelser. 

Har du brug for hjælp?

Datatilsynets fokusområder i 2026 viser tydeligt, at databeskyttelse ikke længere er et rent juridisk spørgsmål. Organisationer skal kombinere jura, IT‑sikkerhed og forretningsforståelse – især ved brug af AI og nye teknologier.

For virksomheder betyder det, at et proaktivt compliance‑arbejde i 2026 bør omfatte:

• Opdaterede risikovurderinger og DPIA’er
• Gennemgang af AI‑ og teknologiløsninger
• Styrkede interne politikker og procedurer
• Løbende kontrol af databehandlere og leverandører

En tidlig indsats reducerer risikoen for påbud, kritik og bøder – og styrker samtidig tilliden hos kunder, medarbejdere og samarbejdspartnere.

Hos ØENS Advokatfirma anbefaler vi altid, at man tager databeskyttelsesreglerne seriøst. Det er ofte forbundet med omfattende bøder, hvis man handler i strid med reglerne, ligesom der i stigende grad opleves hackerangreb ved manglende beskyttelse. Reglerne er derfor med til at sikre os alle og give en større tryghed.