IT-retten Styrkes Nye Regler for Data Infrastruktur og Digitalisering

Nye bekendtgørelser og lovforslag styrker IT-reguleringen i Danmark. Fokus er på digital datahåndtering, IT-sikkerhed, infrastruktur, åbne API'er, e-forvaltning, patientdata og finansiel teknologi.

Digitalisering er ikke længere et sidekapitel i dansk regulering, men det sted, hvor nye regler faktisk får effekt. De seneste uger har vist en markant bevægelse mod mere detaljerede IT-krav til datahåndtering, infrastruktur, sikkerhed og hvidvaskkontrol på tværs af sektorer.

IT-retten Styrkes Nye Regler for Data Infrastruktur og Digitalisering

Den aktuelle bølge af lovgivning og udkast viser en klar tendens: IT-komponenten er ikke blot teknisk underbygning, men et eksplicit reguleringsobjekt. Fra digitale besætningslister og patientjournaler over åbne API’er for brændstofpriser til systemrevision i finansiel infrastruktur og skærpede hvidvaskkrav for leasingvirksomheder skærpes kravene til både datasikkerhed, transparens og digital infrastruktur.

Hvor tidligere regler ofte var teknologineutrale, ser vi nu mere konkrete krav til format, API’er, digitale kortsystemer, satellitbaseret kontrol, CPR-baseret opholdskontrol og systemrevision af it-miljøer. Det øger kompleksiteten – men også sporbarheden og tilsynets muligheder.

Nedenfor gennemgås de vigtigste nye tiltag inden for IT-retten og deres praktiske konsekvenser.

Digital Datahåndtering og Transparens

Digitale besætningsdata i søfarten

Den nye bekendtgørelse om opretholdelse af besætningsdata i handels- og fiskeskibe cementerer, at besætningsdata nu tænkes digitalt fra grunden. Reder og skibsfører skal sikre, at fortegnelsen over besætningsdata både er om bord og til enhver tid tilgængelig ved syn og kontrol. Nyheden er, at fortegnelsen udtrykkeligt kan opbevares på elektronisk medie, og at data skal kunne sendes digitalt til Søfartsstyrelsen efter styrelsens anvisninger, når styrelsen anmoder om det.

I praksis betyder det, at:

• rederier skal have driftsikre, ombord-baserede digitale systemer til besætningslister, der kan dokumentere, hvem der faktisk var om bord på en given rejse
• data skal struktureres, så de kan fremsendes sikkert og hurtigt til Søfartsstyrelsen, typisk via de allerede etablerede digitale indberetningskanaler på søfartsområdet (soefartsstyrelsen.dk)

Det skærper kravene til integritet og tilgængelighed af personoplysninger om besætningen. For rederier, der stadig har papirbaserede løsninger, vil overgangen forudsætte både teknisk opgradering og databeskyttelsesretlig gennemgang (GDPR, adgangskontrol, logning mv.).

Læs mere her: Lovguiden – Bekendtgørelse om opretholdelse af besætningsdata i handels- og fiskeskibe

Arbejdsmiljødata og eftersøgning til søs

Den nye bekendtgørelse om Fiskeriets Arbejdsmiljøråd og Fiskeriets Arbejdsmiljøtjeneste går et skridt videre og knytter arbejdsmiljødata sammen med rednings- og eftersøgningsformål. Rådet får bl.a. til opgave at indsamle og opbevare oplysninger om besætningsmedlemmers navn og CPR-nummer til brug for politi, forsvar og andre redningstjenester ved eftersøgning og redning til søs.

Det betyder, at der opbygges et sektorielt specialregister med særligt følsomme oplysninger, som kan udleveres efter anmodning til en bred kreds af myndigheder. For IT-retten rejser det flere krav:

• klare formålsbegrænsninger og hjemler for videregivelse
• stærke sikkerhedskrav til opbevaring, logning og adgangskontrol
• governance-modeller for samarbejde mellem Fiskeriets Arbejdsmiljøråd, Søfartsstyrelsen og redningstjenesterne

Samtidig kan registret – korrekt forvaltet – væsentligt forbedre responstiden og præcisionen i redningsindsatser.

Læs mere her: Lovguiden – Bekendtgørelse om Fiskeriets Arbejdsmiljøråd og Fiskeriets Arbejdsmiljøtjeneste

Patientjournaler som digitalt omdrejningspunkt

Den nye bekendtgørelse om autoriserede sundhedspersoners patientjournaler samler og moderniserer reglerne om journalføring, opbevaring, videregivelse og overdragelse på tværs af sundhedssektoren. Bekendtgørelsen gælder enhver autoriseret sundhedsperson, og definerer patientjournalen bredt som alle notater og oplysninger, der har betydning for patientens behandling – inklusive visse oplysninger, patienten selv fremfører.

To markante IT-retlige nedslag:

1. Én journal pr. behandlingssted – men med mulighed for fælles journal
   På hvert behandlingssted oprettes som udgangspunkt én patientjournal pr. patient, med mulighed for fælles journal, hvor flere behandlingssteder har samme ledelse og behandlingsprofil. Det understøtter digitale, tværgående journalsystemer, men stiller til gengæld skærpede krav til rettighedsstyring, indre adgangskontrol og logging.

2. Journalen som både arbejdsredskab og patientens inddragelsesværktøj
   Bekendtgørelsen fremhæver, at journalen både skal sikre god behandling og understøtte patientens mulighed for inddragelse og varetagelse af egne interesser. Det afspejler udviklingen mod mere patientnære e-journal-løsninger og patientadgang via sundhedsportaler, hvor strukturerede og tidstro digitale notater er afgørende. (stps.dk)

Styrelsen for Patientsikkerhed har de senere år gentagne gange påtalt mangelfuld digital journalføring i både somatik, psykiatri og kosmetiske klinikker. Disse tilsyn vil fremover skulle måles direkte op mod den nye bekendtgørelses mere detaljerede regler om systematisk, overskuelig og rettidig journalføring.

Læs mere her: Lovguiden – Bekendtgørelse om autoriserede sundhedspersoners patientjournaler

Åbne API’er for brændstofpriser

En ændring af prismærkningsbekendtgørelsen indfører nu et markant nyt krav: Brændstofselskaber, der sælger motorbrændstof fra salgssteder med et visst volumen, skal ikke blot offentliggøre aktuelle priser på deres hjemmeside – de skal også oprette og vedligeholde et offentligt tilgængeligt API med de centrale prisoplysninger.

Den nye § 16 a opstiller bl.a. krav om, at følgende data udstilles:

• adresse på salgsstedet
• aktuel enhedspris og oktantal for hver type autobenzin
• aktuel enhedspris for hver type autodiesel
• tidspunkt for seneste opdatering

Dertil kommer krav om teknisk dokumentation for API’et, herunder datamodel, adgangsmetode og returformat, som skal ligge offentligt på selskabets hjemmeside. Forbrugerne beskyttes samtidig ved, at selskaberne ikke må offentliggøre eller dele andre prisoplysninger end de krævede – et element, der klart sigter mod at begrænse risikoen for digital priskoordinering og kartellignende adfærd. (kfst.dk)

For IT- og compliance-afdelinger betyder det, at prisdata nu skal tænkes som:

• regulatorisk datafeed, der skal være korrekt, tilgængeligt og veldokumenteret
• open data-ressource, som tredjepartsaktører (apps, sammenligningstjenester mv.) legitimt kan bygge på
• et område, hvor datakvalitet og oppetid får direkte forbruger- og tilsynsmæssig betydning

Læs mere her: Lovguiden – Bekendtgørelse om ændring af bekendtgørelse om oplysning om salgspris og enhedspris for forbrugsvarer

Digitale ansøgninger i Tast selv og Internet Markkort

Bekendtgørelsen om ansøgninger m.v. for landbrugere i Tast selv videreudbygger den fuldt digitaliserede forvaltning af EU-støtteordninger. Ansøgning via fællesskema og tilhørende markkort skal indgives i Tast selv, og digitale kortværktøjer som Internet Markkort og markblokke er integrerede juridiske begreber.

Bekendtgørelsen definerer bl.a.:

• Internet Markkort som et geografisk it-system udviklet af styrelsen
• markblok som en geografisk enhed med registrerede oplysninger om arealernes karakter og maksimalt tilskudsberettigede hektar
• præcise krav til, hvilke arealer og elementer (småbiotoper, markkrat mv.) der skal indtegnes og indberettes digitalt

Det digitale kort bliver dermed en del af den retlige virkelighed: den digitale afgrænsning og registrering i styrelsens systemer er grundlaget for tilskudsretten, og eventuelle fejltegninger kan føre til nedsættelser eller tilbagebetaling. Landbrugsstyrelsens kommunikation viser tydeligt, at Tast selv og Internet Markkort er blevet centrale redskaber i administrationen af grundbetaling og relaterede ordninger. (lbst.dk)

For landbrugerne bliver præcis digital kortlægning og løbende ajourføring af markdata en central complianceopgave, ofte i samspil med rådgivere og maskinleverandørers præcisionslandbrugssystemer.

Læs mere her: Lovguiden – Bekendtgørelse om ansøgninger m.v. for landbrugere i Tast selv

Satellitovervågning og retentionskort i kvælstofreguleringen

Udkastet til ny vejledning om tilskud til målrettet kvælstofregulering 2026 bygger oven på denne digitalisering og går endnu længere. Ordningen er nu dybt forankret i geodata, digitale retentionskort og satellitbaseret kontrol.

Vejledningen beskriver bl.a.:

• et samlet indsatsbehov på 3.500 tons kvælstof, operationaliseret som ca. 365.000 ha efterafgrøder
• et opdateret Retentionskort 2025, hvor arealer med lav retention prioriteres, så indsatsen placeres der, hvor den giver størst miljøeffekt (lbst.dk)
• anvendelse af satellitbaseret kontrol til at overvåge, om plantedækket faktisk er etableret og opretholdt

“Satellitbaseret kontrol anvendes til at overvåge overholdelse af krav til plantedække.”

Forvaltningsmæssigt betyder det, at der sker et skifte fra klassisk feltkontrol til fjernmåling og automatiseret risikobaseret udvælgelse af sager. IT-retten udfordres her på spørgsmål som transparens i algoritmer, mulighed for at anfægte satellitbaserede vurderinger og dokumentationskrav ved tvister.

Læs mere her: Lovguiden – Vejledning om tilskud til målrettet kvælstofregulering 2026

IT-sikkerhed og Kritisk Infrastruktur

Systemrevision hos operatører af finansiel digital infrastruktur

Bekendtgørelsen om systemrevisionens gennemførelse i operatører af finansiel digital infrastruktur m.fl. tager udgangspunkt i den særlige rolle, fælles datacentre og it-leverandører har for finanssektoren. Virksomheder, der er udpeget som operatører af finansiel digital infrastruktur, får nu et detaljeret systemrevisionsregime.

Kernen er, at:

• generalforsamlingen skal vælge mindst én godkendt revisor som ekstern systemrevision, der arbejder gennem en godkendt revisionsvirksomhed

• revisionen skal omfatte:

  1. generelle it-kontroller, herunder ledelsessystemet for it-sikkerhed
  2. de it-baserede brugersystemer, der stilles til rådighed for tilsluttede finansielle virksomheder
  3. de systemer, der bruges til dataudveksling med tilsluttede virksomheder og andre operatører

• der stilles eksplicitte krav til system-, data- og driftssikkerhed, fx sikring mod uautoriseret ændring og adgang, betryggende logning og dokumentation

Bekendtgørelsen lægger samtidig vægt på koordination mellem systemrevisionen hos operatøren og revisionen i de tilsluttede virksomheder. Finanstilsynets seneste inspektioner i datacentraler som BEC, Bankdata, SDC og JN Data viser, at krav til intern systemrevision og betryggende it-kontrol allerede er et centralt tilsynstema, og den nye bekendtgørelse opdaterer nu hjemmelsgrundlaget til de nyere regler om operatører af finansiel digital infrastruktur. (finanstilsynet.dk)

For operatørerne betyder det, at systemrevision ikke længere kan betragtes som en perifer complianceøvelse, men en kernefunktion, der skal indgå i den samlede styring af kritisk finansiel infrastruktur.

Læs mere her: Lovguiden – Bekendtgørelse om systemrevisionens gennemførelse i operatører af finansiel digital infrastruktur m.fl.

Styrket styring af IKT-risici og kryptoaktiver i banker

Ændringsbekendtgørelsen om ledelse og styring af pengeinstitutter m.fl. opdaterer den såkaldte ledelsesbekendtgørelse på flere centrale punkter, der alle har en klar IT- og risikostyringsvinkel.

Tre ændringer er særligt bemærkelsesværdige:

1. ESG-risici integreres eksplicit i governance
   Ledelsen skal nu sikre robuste strategier, politikker og systemer til identifikation, måling, styring og overvågning af ESG-risici – på både kort, mellem og lang sigt, med en horisont på mindst ti år. Risiko-politikkerne skal eksplicit indeholde retningslinjer for risici som følge af miljømæssige, sociale og ledelsesmæssige faktorer. Dette harmonerer med Finanstilsynets nyere notater om god praksis for styring af ESG-relaterede risici. (finanstilsynet.dk)

2. Operationel risiko omfatter nu udtrykkeligt IKT- og outsourcingrisici
   Definitionen af operationel risiko i bilag 3 præciseres, så den inkluderer risiko vedrørende informations- og kommunikationsteknologi (IKT) og outsourcing. IT-arkitektur, driftsstabilitet og leverandørstyring bliver dermed et centralt fokusområde for bestyrelsens overvågning.

3. Kryptoaktiver og centrale modparter får eget risikoben
   Virksomhederne skal etablere principper for vurdering og håndtering af risici som følge af direkte og indirekte eksponeringer mod kryptoaktiver og udbydere af kryptoaktivtjenester. Samtidig styrkes kravene til styring af koncentrationsrisici mod centrale modparter (CCP’er), bl.a. via krav om specifikke planer og kvantificerbare mål.

Samlet set hæver ændringerne barren for, hvordan banker skal organisere risikodata, scenarieanalyser og rapporteringssystemer på tværs af ESG, IKT, krypto og CCP-eksponeringer. Det vil kræve både teknologiske investeringer og en tættere kobling mellem risikostyringsfunktionen og de underliggende datasystemer.

Læs mere her: Lovguiden – Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Masteleje og udbygning af elektroniske kommunikationsnet

Mastelejevejledningen fra Digitaliseringsministeriet (udarbejdet i samarbejde med Energistyrelsen) giver en detaljeret model – mastelejemetoden – for, hvordan offentlige ejere kan udleje arealer til mobilmaster og antenner på markedsvilkår. Selve vejledningen er juridisk set “blød” regulering, men har stor praktisk betydning for udbygningen af mobil- og bredbåndsdækning.

Vejledningen beskriver bl.a.:

• hvordan lejen kan fastsættes med udgangspunkt i en fiktiv parcelhusgrund, forrentningsfaktorer og forhandlingsspænd
• hvilke ekstra administrations- og driftsomkostninger der kan opkræves
• hvordan offentlige udlejere undgår at yde ulovlig statsstøtte og samtidig sikrer effektiv konkurrence mellem teleselskaberne (ens.dk)

For IT-retten er det afgørende, at fysisk infrastrukturregulering (mastelokationer, lejeniveauer) direkte påvirker digital infrastruktur og borgernes adgang til elektronisk kommunikation. Vejledningen giver også et indirekte incitament til, at offentlige udlejere etablerer interne data- og GIS-systemer, der kan håndtere masteplaceringer og vilkår systematisk.

Læs mere her: Lovguiden – Mastelejevejledning

Digitale Offentlige Tjenester og Administration

Digital forvaltning af kølekæde og fødevaretransport

ATP-bekendtgørelsen om international transport af letfordærvelige fødevarer er på overfladen teknisk fødevarelovgivning, men indeholder også et væsentligt digitaliseringsspor. Godkendelse af isoleret transportmateriel og typegodkendelse kan fremsendes elektronisk til ATP-materielkontrollen via Virk.dk, med krav om digital fremsendelse af laboratorierapporter direkte fra laboratoriet.

Virk.dk er i dag virksomhedernes fælles digitale indgang til det offentlige, med omkring 1.500 selvbetjeninger og fælles komponenter som blanketmotor og Mit Virk, der samler virksomhedsdata på tværs af myndigheder. (virk.dk)

Det betyder, at:

• fødevarevirksomheder og transportører forventes at håndtere godkendelser, certifikater og korrespondance digitalt, herunder sikre korrekt filformat, digital signatur og rettighedsstyring
• myndighedernes tilsyn styrkes via hurtigere tilgang til dokumentation og mulighed for at sammenholde data på tværs af systemer
• ATP-ordningens efterlevelse bliver tæt forbundet med den generelle digitale infrastruktur for business-to-government-kommunikation

Læs mere her: Lovguiden – ATP-bekendtgørelsen

Digital opholdskontrol og adgang til videregående uddannelser

Udkastet til ny adgangsbekendtgørelse for professions- og erhvervsrettede videregående uddannelser lægger op til væsentlige ændringer i dataanvendelsen omkring ansøgeres opholdsstatus. Som konsekvens af lovforslag L 5 skal institutionerne:

• afslå optagelse af ansøgere uden lovligt ophold
• udskrive studerende, der mister deres lovlige opholdsgrundlag

Det skal ske på baggrund af oplysninger fra CPR-registret, hvor personer kategoriseres som med fast opholdsstatus, uden fast opholdsstatus eller med ulovligt ophold. Kun den sidstnævnte kategori rammes direkte, men kontrollen forudsætter automatiserede opslag og løbende datatræk, der skal håndteres i overensstemmelse med både databeskyttelsesregler og forvaltningsretlige garantier. (ufm.dk)

Samtidig ændres de it-faglige erhvervsakademiuddannelsers adgangsveje, idet adgangseksamen udfases som adgangsgrundlag. Det kan på sigt påvirke, hvem der søger og optages på netop de uddannelser, hvor digital kompetencebehovet i samfundet er størst – og øger presset for at få digitale optagelsessystemer og rangeringskriterier til at fungere retssikkert.

Læs mere her: Lovguiden – Adgangskursusbekendtgørelsen

Nye Hvidvaskkrav og IT for Leasingbranchen

Lovforslaget om visse udbydere af leasing af motorkøretøjer (L 81) etablerer en helt ny tilladelses- og tilsynsordning for leasingvirksomheder, der udbyder leasing på forholdsmæssig registreringsafgift. Finanstilsynet bliver tilsynsmyndighed, og virksomhederne bringes eksplicit ind under hvidvasklovens anvendelsesområde.

IT- og dataretlige nøglepunkter:

• Leasingvirksomheder skal have robuste forretningsgange for betalingsevnevurdering, herunder mulighed for at søge relevante databaser som led i vurderingen. Det understøtter en mere systematiseret og datadreven kreditvurdering, men stiller krav til hjemler, dataminimering og logning. (ft.dk)
• Finanstilsynet får adgang til alle nødvendige oplysninger og fysisk adgang til forretningslokaler uden retskendelse – i praksis vil meget af dette ske via digitale indberetninger, systemudtræk og compliance-rapporter.
• Virksomhederne skal leve op til hvidvasklovens krav om kundekendskabsprocedurer, løbende overvågning og rapportering, som i dag typisk implementeres gennem avancerede IT-systemer til mønstergenkendelse og alarmer.
• Finanstilsynets reaktioner og eventuelle straffesager skal offentliggøres både på Finanstilsynets hjemmeside og på virksomhedens egen hjemmeside, med synligt link på forsiden. Det skaber en direkte kobling mellem compliance og digital omdømmeforvaltning.

Lovforslaget går på visse punkter videre end EU’s hvidvaskdirektiver, idet også operationel leasing på forholdsmæssig registreringsafgift omfattes. Det betyder, at en branche, der historisk har haft relativt begrænset regulatorisk byrde, nu må investere i IT-infrastruktur på niveau med finansielle virksomheder.

Læs mere her: Lovguiden – Forslag til Lov om visse udbydere af leasing af motorkøretøjer

IT-regulering på tværs af sektorer

For at give overblik kan de beskrevne tiltag groft kategoriseres således:

Et Reguleringslandskab i Bevægelse

Fælles for de nye regler er, at IT ikke længere er et neutralt værktøj, men et reguleret objekt i sig selv. Fortegnelser, journaler, markkort, API’er, systemrevisionserklæringer, opholdsstatus-data og hvidvasksystemer er alle eksplicit adresseret af ny lovgivning.

For virksomheder, institutioner og offentlige myndigheder betyder det:

• IT- og juridiske funktioner må arbejde tættere sammen – tekniske valg kan få direkte retsvirkninger
• governance for data og systemer skal løftes til bestyrelsesniveau, særligt i finanssektoren og andre kritiske infrastrukturer
• sektorspecifik digital regulering (som f.eks. krav om åbne API’er eller satellitkontrol) kommer i stigende grad til at supplere de horisontale rammer om databeskyttelse og informationssikkerhed

Den, der vil navigere sikkert i denne virkelighed, må ikke alene kende GDPR og sikkerhedsstandarder, men også følge de løbende sektoropdateringer, hvor IT-retten nu i stigende grad udvikles – et regelkompleks, som i de kommende år kun vil vokse i både dybde og betydning.