Datatilsynet har afsluttet skriftlige tilsyn med behandlingssikkerheden i 48 kommuner

Datatilsynet har afsluttet skriftlige tilsyn med behandlingssikkerheden i 48 kommuner


Tilsyn med kommunernes grundlæggende behandlingssikkerhed har været et af Datatilsynets særlige fokusområder i 2024.

Uanset at tilsynet var målrettet kommuner, er de grundlæggende krav til behandlingssikkerhed helt centrale for alle aktører, der foretager behandlinger omfattet af databeskyttelsesreglerne. Alle organisationer, der behandler personoplysninger kan derfor med fordel anvende den vejledning, der er et resultat af tilsynet, for en gennemgang af eget sikkerhedsniveau.

Flere af de identificerede indsatsområder er ofte en tidskrævende opgave, som kan involvere store dele af organisationen

Identificerede indsatsområder

Datatilsynet har identificeret 5 indsatsområder:

  • Procedurer for sletning
  • Foranstaltninger som skal sikre, at der ikke sker utilsigtet deling af personoplysninger i forbindelse med udgående mails
  • Rettighedsstyring
  • Konsekvensanalyse
  • Domænesikkerhed


Særligt sletning, rettighedsstyring og konsekvensanalyser giver erfaringsmæssigt anledning til udfordringer. 

Særligt om sletning

Sletteprocedurer kan være en stor opgave at få implementeret effektivt særligt hvor organisationer har såkaldte ”legacy-systemer” – ældre systemer, som kan indeholde større mængder data og kun få tidssvarende funktionaliteter. 

Forudsætningen for effektiv sletning er transparens i organisationens data indblik i, de systemer personoplysninger behandles i og, indsigt i indbyrdes afhængigheder i de anvendte systemer og integrationer. 

En sletteprocedure er baseret på både tekniske og organisatoriske overvejelser og tiltag. 

Organisatoriske tiltag kan f.eks. være fastsættelse af hvordan systemerne løbende undersøges for oplysninger, deres slettefrist, hvem der er ansvarlig for, at sletningen igangsættes, hvordan der følges op på, at sletningen er foretaget, og hvordan det dokumenteres, at sletningen er foretaget. 

Tekniske tiltag kan f.eks. være fastsættelse af hhv. automatisk eller manuel sletning og identifikation af de konkrete datafelter i et system, der omfattes af eller påvirkes af sletningen. 

Særligt om rettighedsstyring

Grundsætningen i persondatabeskyttelse vedrørende adgangsstyring er, at adgang kun må gives, når der er et arbejdsbetinget behov for det; der skal være sammenhæng mellem brugerkompetencer, adgangsrettigheder og opgaver.

For en effektiv rettighedsstyring bør følgende overordnede forhold være implementeret i organisationen:

  • Formaliseret procedure for adgangsadministration
  • Tildeling af adgange ud fra et ”need-to-know” princip, dvs. så få adgange som muligt
  • Tildelte adgange skal være ledelsesgodkendt
  • Rettigheder tilpasses ved ændring af arbejdsbetinget behov
  • Der skal foretages en periodisk gennemgang af rettigheder
  • Der skal foretages test af processen

Misbrug af tildelte rettigheder kan imødegås/forebygges ved logning af brugernes anvendelse af personoplysninger. 

Særligt om konsekvensanalyser og risikovurderinger

Udarbejdelse af risikovurderinger danner grundlag for fastsættelse af det rette sikkerhedsniveau og identifikation af de tekniske og organisatoriske tiltag, der skal til for at beskytte de registreredes grundlæggende rettigheder og frihedsrettigheder. 

En særlig variant af risikovurderingen er konsekvensanalysen, som skal foretages for de behandlinger, der medfører en høj risiko for individet. Konsekvensanalysen er i sin grundform en risikovurdering, men kan indeholde yderligere tiltag, f.eks. høring og konsultation af DPO. 

Lang hovedparten af organisationer arbejder med risikovurderinger for de systemer, der anvendes i driften. Det er dog vores erfaring, at det ofte er de kommercielle risici for organisationen og ikke altid individets risiko i forhold til databeskyttelse, der tages højde for. 

Risikovurderinger skal ikke kun udarbejdes for systemer, men også for de persondatarelevante processer, der er identificeret i organisationen som et led i den kortlægning, alle organisationer har foretaget, og de skal holdes opdateret i takt med f.eks. planlagte ændringer eller udvikling i behandlinger/systemer. 

Der er ikke noget facit for hverken form eller niveau for en risikovurdering, men fælles for dem alle er, at de skal indeholde en kvalificeret stillingtagen til risikobillede, risikovurdering og risikohåndtering. 

Hvor organisationen i forvejen arbejder med risikovurderinger, bør det overvejes at modellere den databeskyttelsesretlige risikovurdering over samme model, så man udnytter det metodekendskab, organisationen allerede har. 

Hvad kan vi hjælpe dig med

  • BDO kan bistå med at kortlægge systemer og personoplysninger.
  • BDO kan bistå med udarbejdelse af sletteprocedurer, herunder fastsættelse af slettefrister.
  • BDO kan bistå med udarbejdelse af procedure for rettighedsstyring. 
  • BDO kan bistå med udarbejdelse af procedure for risikovurdering og konsekvensanalyse og udarbejdelse af konkrete risikovurderinger og konsekvensanalyser. 


Vi bestræber os på at yde rådgivning, som imødekommer jeres konkrete behov, og vi tager også gerne en mere uformel dialog om, hvordan du kommer videre i det løbende arbejde med at sikre databeskyttelsesretlig compliance. 

Du er altid velkommen til at kontakte en af nedenstående kontaktpersoner.