Privatlivsspørgsmål: Hvad compliance-teams kan forvente i 2026

Af Phil Muncaster • 27 januar 2026

Den 28. januar er Global Privacy Day – en anledning til at fejre retten til databeskyttelse, som mange af os tager for givet i dag. Sådan har det selvfølgelig ikke altid været. Først på denne dato i 1981 underskrev Europarådet endelig Konvention 108, "til beskyttelse af fysiske personer i forbindelse med automatisk behandling af personoplysninger."

Selvom det til tider kan være langsomt, står databeskyttelseslovgivningen sjældent stille. I år vil compliance-professionelle have masser at tænke over, da forskellige bestemmelser i Storbritanniens Data (Use and Access) Act (DUAA) træder i kraft. De kan overveje at bruge ISO 27701 for at strømline deres indsats.

Hvorfor privatliv betyder noget

Sikkerhed og privatliv er to sider af samme sag. Uden den beskyttelse, som mennesker, processer og teknologi muliggør, ville ingen organisation være i stand til at opfylde sine forpligtelser til at opretholde kunders og medarbejderes privatlivsrettigheder. Dette er vigtigt for britiske virksomheder i forbindelse med GDPR, som giver tilsynsmyndigheder beføjelse til at opkræve potentielt store bøder (op til £17 millioner eller 4% af den globale omsætning) for alvorlig manglende overholdelse. Men der er andre overbevisende forretningsmæssige grunde til, at privatliv bør være en strategisk prioritet:

Undgå driftsomkostninger forbundet med alvorlige brud. Disse kan omfatte ekstra penge, der er nødvendige til at betale IT-overtid, tredjeparts retsmedicinske eksperter, juridiske teams og til at underrette kunder og tilsynsmyndigheder.
Undgå potentielt dyre gruppesøgsmål efter et større databrud
Styrkelse af kundernes tillid og loyalitet. Et større brud kan have alvorlig indflydelse på det langsigtede omdømme. Men omvendt har organisationer, der prioriterer kundernes privatliv og gennemsigtighed frem for datahåndtering, en god mulighed for at opbygge tættere relationer med deres kunder.
Skabe konkurrencefordele og ekspansion gennem implementering af bedste praksis for privatlivsstandarder som ISO 27701, hvilket kan hjælpe med at berolige regulatorer, partnere og kunder på nye markeder og strømline overholdelse af lovgivningen

Hvad er nyt med DUAA i 2026?

Ifølge IO-undersøgelsen (tidligere ISMS.online), Status for informationssikkerhedsrapport 2025, steg andelen af amerikanske og britiske virksomheder, der kræver, at leverandører overholder GDPR, fra 9 % til 34 % mellem 2024 og 2025. Det illustrerer både de forretningsmæssige drivkræfter bag compliance og det faktum, at der stadig er meget arbejde at gøre, før reguleringen er fuldt ud implementeret i hele erhvervslivet.

Den nye DUAA blev delvist udtænkt som svar på bekymringer om, at overholdelse af GDPR medførte for meget bureaukrati for virksomheder. en undersøgelse hævder at mindre end 2 % af organisationerne er klar til den nye lov. Mange (47 %) nævner opdateringer til styring, træning og leverandørstyring som deres største udfordringer. Dette bliver nødt til at ændre sig. Blandt de forventede ændringer af privatlivsloven, som den vil indlede i år, er:

Mere permissive regler for automatiseret beslutningstagning (ADM). Disse vil give organisationer mulighed for at benytte en bredere vifte af retsgrundlag for at træffe beslutninger om enkeltpersoner, så længe der er sikkerhedsforanstaltninger på plads.
Lempelser af lovgivningen vil udvide de omstændigheder, hvorunder lavrisikocookies kan bruges uden udtrykkeligt samtykke.
Indførelse af "anerkendte legitime interesser" – et nyt retsgrundlag for behandling af data i samfundets interesse (f.eks. kriminalitetsforebyggelse)
Nye krav til håndtering af klager fra registrerede, herunder elektroniske klageformularer og bekræftelse af klager inden for 30 dage
En forhøjelse af potentielle bøder i henhold til forordningerne om privatliv og elektronisk kommunikation (som regulerer cookies) for at tilpasse sig GDPR (£17.5 mio. eller 4 % af omsætningen)
Et nyt krav om at følge ICO's børnekodeks, hvis onlinetjenester sandsynligvis vil blive tilgået af børn

Alt dette vil kræve opdateringer af forretningsprocesser for håndtering af klager og vurdering af forpligtelser til at opretholde børns privatlivsrettigheder. I betragtning af de potentielt høje bøder, der er involveret, bør organisationer med ikke-overensstemmende cookie- og elektronisk markedsføringspraksis også prioritere overholdelse af PECR.

Edward Machin, rådgiver i data-, privatlivs- og cybersikkerhedsgruppen hos Ropes & Gray, deler følgende to datoer for kalenderen i 2026:

Januar 2026 (cirka seks måneder efter kongelig godkendelse)De vigtigste ændringer af databeskyttelseslovgivningen, som er beskrevet i del 5 i DUAA, træder i kraft, med undtagelse af ændringer af klageproceduren for registrerede.

TBC for 2026Bestemmelser, der er afhængige af teknisk infrastruktur eller kræver mere tid, træder i kraft, herunder foranstaltninger, der afhænger af ny teknologi (f.eks. visse registre eller tjenester) og klageproceduren for registrerede.

"Organisationer bør opdele deres DUAA-forberedelser mellem de bestemmelser, der kræver, at de træffer specifikke handlinger, såsom implementering af en klageprocedure for registrerede, og dem, der giver mere fleksibilitet i forhold til nuværende praksis, såsom reglerne omkring anmodninger om indsigt, automatiseret beslutningstagning og cookies," fortæller han IO.

"Under alle omstændigheder vil DUAA i de fleste tilfælde kræve en udvikling af organisationers compliance-programmer snarere end omfattende ændringer. Men organisationer bør især have en plan på plads for at imødekomme kravene i del 5 for at sikre, at de ikke farer vild i det nye års forandringer."

ISO 27701 Modenhed

For compliance-teams, der allerede spekulerer på, hvordan de skal håndtere endnu en regulatorisk oversvømmelse i år, er der gode nyheder. ISO 27701 er nu en separat standard, snarere end en udvidelse af ISO 27001. Det betyder, at organisationer har en billigere, hurtigere og mere fleksibel måde at opnå bedste praksis for datahåndtering og -behandling.

ISO 27701 tilbyder et struktureret rammeværk for etablering, implementering, vedligeholdelse og løbende forbedring af et Privacy Information Management System (PIMS). Det omfatter handlingsrettede kontroller for:

Beskyttelse af personligt identificerbare oplysninger (PII) af den art, der er reguleret af GDPR (og DUAA)
Juridisk overholdelse, gennemsigtighed og registrerede personers rettigheder (for PII-ansvarlige)
Kontraktlig overholdelse og behandling (for PII-behandlere)

Rob Rachwald, vicedirektør for brand- og produktmarketing hos Zero Networks, beskriver ISO 27701 som "den ultimative kogebog" til at håndtere DUAA's krav.

"Selvom DUAA gør den britiske GDPR mere pragmatisk, kræver den stærkere ansvarlighed og bevis for forvaltning, især omkring håndtering af anmodninger om indsigt og implementering af sikkerhedsforanstaltninger for ADM," fortæller han IO.

"ISO 27701 leverer en globalt anerkendt PIMS-plan, der allerede beskriver de nødvendige processer for registreredes rettigheder, datakortlægning og indbygget privatlivsbeskyttelse, hvilket giver organisationer mulighed for øjeblikkeligt at demonstrere "rimelig og forholdsmæssig" overholdelse af regler og dermed gøre en regulatorisk byrde til noget, der kan revideres."

Standarden repræsenterer derfor en stadig vigtigere søjle i enhver effektiv risikostyringstilgang, sammen med ISO 27001 og 42001. Privatlivsindsatsen er i stigende grad forbundet med indsatsen inden for informationssikkerhed og AI-styring. Organisationer, der ser på alle tre holistisk, vil være bedst placeret til at bruge compliance som et springbræt til forretningssucces i 2026.

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 3 februar 2026

WEF-rapport: Svindel er nu administrerende direktørers største cyberbekymring, men det er ikke den eneste

Fem år er lang tid inden for cybersikkerhed. Alligevel er det så længe, at World Economic Forum (WEF) har afstemt administrerende direktører i forbindelse med sin globale cybersikkerhedsrapport...

Phil Muncaster

Cyber sikkerhed 20 januar 2026

Lukning af kløften i AI-styring med ISO 42001-blog

Luk kløften i AI-styring med ISO 42001

Storbritannien har et problem med AI-styring. Dette var måske ikke et problem for et par år siden, da projekter var spredte i de fleste organisationer. Men i dag...

Phil Muncaster

Cyber sikkerhed 6 januar 2026

Fem sikkerheds- og compliance-tendenser at holde øje med i 2026

Hvordan kan de kommende 12 måneder se ud for cybersikkerheds- og compliance-professionelle? Vi har gransket nyhederne og absorberet branchens forudsigelser...

Phil Muncaster