Artiklen gennemgår vigtige ændringer i IT-retten, herunder den nye fælles certifikatpolitik under eIDAS2, reviderede regler for PNR-oplysninger og arkivering af forskningsdata.
De digitale tillidsinfrastrukturer strammes op i starten af 2026, mens myndighedernes databrug i sikkerhedsøjemed presses ind i smallere, mere domstolskontrollerede rammer. Samtidig får offentlige forskningsdata og arbejdsmiljødata nye forvaltningsspor.
Ugens linjer i IT-retten
Den første uge af januar 2026 tegner et tydeligt mønster i IT-retten: standardisering opadtil (EU-regler og ETSI-krav) og retssikkerhed nedadtil (kortere opbevaring, mere målretning og stærkere domstolskontrol). På tre områder er bevægelsen særlig markant:
- Digitale certifikater samles i ét nationalt regelsæt, der spejler eIDAS2 og flytter flere krav fra danske særpolitikker over i EU’s implementeringsrammer. (eur-lex.europa.eu)
- PNR-behandling lægges om efter EU-Domstolens PNR-praksis med skarpere proportionalitet og retskendelser som adgangsbillet til videregivelse. (edpb.europa.eu)
- Dataansvar og dataforpligtelser i det offentlige justeres i praksisnære bekendtgørelser, hvor især arkiveringspligten for digitale forskningsdata og afgrænsningen af dataansvar ved digitale APV-værktøjer vil kræve oprydning i governance og dokumentation. (rigsarkivet.dk)
Samlet certifikatpolitik under eIDAS2
Digitaliseringsstyrelsens udkast til samlet offentlig certifikatpolitik i version 8.0 lægger op til en konsolidering, der i praksis gør to ting på én gang: Den rydder op i et fragmenteret dansk politiklandskab og den låser danske certifikatkrav tættere til EU’s eIDAS2-arkitektur.
eIDAS2-forordningen (forordning (EU) 2024/1183) ændrer eIDAS-regimet og stiller nye interoperabilitets- og sikkerhedskrav til hele økosystemet for digital identitet og tillidstjenester, herunder en europæisk digital identitetstegnebog. (eur-lex.europa.eu) I dansk kontekst ses det som et behov for mere fælles specifikation og færre nationale særspor, hvilket også afspejles i Folketingets materiale om implementeringen. (ft.dk)
Læs mere her: Lovguiden – Offentlig høring af samlet offentlig certifikatpolitik for OCES og kvalificerede certifikater
Hvad der ændrer sig i praksis for udstedere og brugere
Udkastet samler fem tidligere certifikatpolitikker i én politik, der dækker både kvalificerede certifikater og OCES. Den tekniske rygrad flyttes tydeligere over i ETSI-krav (bl.a. EN 319 401 og 319 411-serien), som i stigende grad bliver “selve kravet” i stedet for blot en reference. (certifikat.gov.dk)
Der er samtidig et vigtigt styringssignal i, at særskilte politikker for validering og tidsstempling foreslås nedlagt, fordi disse områder i højere grad reguleres direkte via EU-rammer og standarder. Det betyder i praksis, at compliance-arbejdet hos tillidstjenesteudbydere vil rykke fra “danske policy-dokumenter” til kontinuerlig standardefterlevelse og auditspor.
| Emne | Retning i version 8.0 | Typisk konsekvens i driften |
|---|---|---|
| OCES placering | OCES behandles som ikke-kvalificeret tillidstjeneste, men med aktivt tilsynsniveau tæt på kvalificerede | Flere kontroller, tydeligere krav til procedurer, logs og ændringsstyring |
| Tekniske krav | ETSI-standarder gøres mere styrende | Større behov for teknisk compliance-dokumentation |
| Certifikaters levetid | Maksimal gyldighedsperiode reduceres/fastlægges tydeligere | Kortere rotationscyklus og påvirkning af integrationsparter |
| Økonomisk robusthed | Krav om ansvarsforsikring på højt niveau | Skærpede krav til risikostyring og leverandørøkonomi |
For offentlige og private parter, der bruger certifikater (fx til signering, autentifikation eller organisationsadgang), bliver nøglepunktet, at kravene til økosystemet strammes, mens forventningen om driftsstabilitet øges. Det harmonerer med udviklingen i fællesoffentlige identitets- og signeringsløsninger, hvor OCES fortsat spiller en praktisk rolle i integrationslandskabet. (digitaliser.dk)
PNR-lovforslaget og en ny retssikkerhedsarkitektur for passagerdata
Justitsministeriets udkast til lovforslag om ændring af PNR-loven er et skoleeksempel på, hvordan EU-retlig praksis bliver “oversat” til dansk IT-retlig styring. Lovforslaget er direkte udløst af EU-Domstolens PNR-dom (C-817/19, Ligue des droits humains, 21. juni 2022), der underkendte generelle og udifferentierede ordninger som udgangspunkt og krævede, at indgreb i privatlivet begrænses til det strengt nødvendige. (edpb.europa.eu)
Læs mere her: Lovguiden – Udkast til forslag til lov om ændring af PNR-loven
To spor for PNR og en markant kortere hovedopbevaring
Lovforslaget indfører en opdeling i en generel ordning (kriminalitetsbekæmpelse) og en særskilt ordning for efterretningstjenesterne. Den praktiske pointe er formålsadskillelse og datasilo-tænkning: data indsamlet til ét formål skal ikke kunne “flyde” til andre formål uden særskilt hjemmel og kontrol.
Samtidig ændres selve proportionalitetsmotoren i systemet:
- Intra-EU flyvninger foreslås begrænset til udvalgte flyvninger, hvor indsamling vurderes strengt nødvendig, med mulighed for udvidelse ved konkret og reel terrortrussel.
- Generel opbevaringsperiode foreslås reduceret fra 5 år til 6 måneder som udgangspunkt.
- Domstolskontrol bliver et centralt nyt knudepunkt ved videregivelse.
Den retlige udvikling ligger i forlængelse af EU’s databeskyttelsesmyndigheder, som i 2025 eksplicit har fremhævet, at opbevaring som udgangspunkt ikke bør overstige en indledende periode på seks måneder, hvorefter kun nødvendige og proportionale forlængelser kan komme på tale. (edpb.europa.eu)
Retskendelser som ny adgangsbillet til videregivelse
Det mest håndgribelige retssikkerhedsskifte for både myndigheder og borgere er kravet om forudgående domstolsprøvelse ved videregivelse af PNR-oplysninger til politiet og efterretningstjenesterne, med en snæver hasteadgang og efterfølgende kontrol.
I praksis flyttes en del af afgørelsestyngden fra administrativ sagsbehandling til et domstolsspor, hvor begrundelse, nødvendighed og proportionalitet skal kunne bære i en kendelse.
For luftfartsselskaber og systemleverandører ligger byrden især i de tekniske leveringsvinduer, herunder et nyt krav om overførsel af PNR-oplysninger i et ekstra interval før afgang. Det vil typisk kræve justeringer i datatræk, kvalitetssikring og hændelseslogning, fordi flere “snapshots” af PNR-data skaber flere potentielle afvigelser, der skal kunne forklares i et kontrolspor.
Arkivering og anmeldelse af digitale forskningsdata fra statslige myndigheder
Kulturministeriets bekendtgørelse om anmeldelse af digitale forskningsdata skabt af statslige myndigheder skubber et område, der ofte har levet i spændet mellem open science, informationssikkerhed og GDPR, mere entydigt ind i arkivretlig forvaltning.
Reglerne retter sig mod statslige myndigheder og institutioner, herunder universiteter og sektorforskningsinstitutioner, og fastlægger både anvendelsesområde, definition og en klar pligt til at anmelde forskningsdata til Rigsarkivet, med undtagelser i bilag. I praksis bliver governance-spørgsmålet “hvem ejer datasættet” gjort til et compliance-spørgsmål.
Det centrale administrative greb er, at når data skabes af flere statslige myndigheder, skal anmeldelse foretages af den myndighed, der er ansvarlig for data, og anmeldelsen skal samtidig synliggøre, hvem der varetager arkivmæssige hensyn, herunder en eventuel senere aflevering.
Læs mere her: Lovguiden – Bekendtgørelse om anmeldelse af digitale forskningsdata skabt af statslige myndigheder
Anmeldelse og dokumentation i praksis
Rigsarkivets egen vejledning lægger allerede i dag vægt på, at statslige forskningsdata skal anmeldes, typisk når dataindsamlingen er afsluttet, men inden projektet afsluttes, og at der findes praktiske undtagelser og afgrænsninger, som mange projekter fejlvurderer i opstartsfasen. (rigsarkivet.dk)
Praktisk betyder det, at flere forskningsmiljøer skal kunne dokumentere:
- Hvad datasættet består af (inklusive tilhørende dokumentation og metodebeskrivelser)
- Hvilken myndighed der er dataansvarlig i arkivforstand
- Hvilke kassations- og bevaringshensyn der gælder i et livscyklusperspektiv
Ophævelse af fælles dataansvar ved Arbejdstilsynets APV-værktøj
Beskæftigelsesministeriets bekendtgørelse ophæver bekendtgørelse nr. 253 af 24. februar 2022 om fælles dataansvar i forbindelse med brug af Arbejdstilsynets APV-værktøj. I IT-retlig praksis er det ikke en lille teknikalitet: fælles dataansvar er en konstruktion, der udløser tunge pligter om rollefordeling, fælles transparens og koordinerede svar til registrerede.
Baggrunden er, at dataansvar i APV-kontekst i forvejen er todelt i funktion: Arbejdstilsynet har en myndighedsrolle knyttet til værktøjet og vejledningsopgaven, mens virksomheden behandler personoplysninger i APV-processen som led i opfyldelse af egne arbejdsmiljøforpligtelser. Arbejdstilsynets materiale om APV-værktøjet har eksplicit peget på, at både myndighed og virksomheder har selvstændige dataansvarsfelter, og at fritekstfelter kan indebære behandling af følsomme oplysninger. (at.dk)
Konsekvenser for virksomhedernes datahåndtering
Når fælles dataansvar ophæves, vil mange organisationer opleve tre konkrete følgevirkninger:
- Rollebeskrivelser skal opdateres i interne fortegnelser, databeskyttelsesdokumentation og eventuelle standardtekster til medarbejdere.
- Håndtering af indsigts- og sletteanmodninger bliver mere enkel at operere, fordi ansvaret for “hvilke data ligger hvor” i højere grad kan knyttes til den part, der reelt bestemmer formål og hjælpemidler i den konkrete behandling.
- Risikoen for gråzoner mindskes, men forsvinder ikke: virksomheder skal stadig sikre, at APV-materiale ikke “parkeres” i eksterne løsninger uden klar opbevarings- og slettepraksis.
Databeskyttelsesregler på vej ind i det grønlandske retsvæsen
Justitsministeriets høring om en grønlandsk bekendtgørelse, der skal give virkning for kriminalforsorgen og domstolene af anordningen om ikraftsættelse for Grønland af lov om retshåndhævende myndigheders behandling af personoplysninger, er et væsentligt skridt i et område, hvor retlige “huller” hurtigt bliver til praktiske problemer.
På systemniveau er pointen, at retshåndhævende myndigheders behandling er underlagt et særregime (implementering af direktiv (EU) 2016/680), der stiller krav til bl.a. nødvendighed, formålsbegrænsning, logning, sikkerhed og registreredes rettigheder. Datatilsynet fremhæver i sin vejledning, at retshåndhævende myndigheder kun må behandle oplysninger, når det er nødvendigt for de retshåndhævende formål, og at der gælder særlige krav til den dataansvarlige, herunder fortegnelser, databehandlerstyring og håndtering af brud. (datatilsynet.dk)
Krav til overførsler og systemer
Samtidig har samarbejdet mellem danske og grønlandske myndigheder et ekstra lag, fordi Grønland i databeskyttelsesretlig forstand typisk behandles som tredjeland i overførselssammenhæng, hvilket stiller krav til overførselsgrundlag og dokumentation. Datatilsynet har i december 2025 udgivet en særskilt nyhed netop for at adressere den praktiske usikkerhed i sådanne overførsler. (datatilsynet.dk)
Det betyder, at IT- og sagsbehandlingssystemer i og omkring domstole og kriminalforsorg skal kunne bære:
- klare adgangsstyrings- og logningsspor
- styring af opbevaring og sletning
- procedurer for brud, indsigt og interne kontrolfunktioner
Hvad IT og compliance bør have klar i januar 2026
Fællesnævneren i ugens opdateringer er, at myndigheder og virksomheder i stigende grad må kunne dokumentere “hvorfor lige præcis disse data” og “hvem bærer ansvaret” i systemdesign og drift.
En enkel, men effektiv handlingsliste ser i praksis sådan ud:
-
Certifikater og tillidstjenester Gennemgå certifikatlivscyklus, forsikringsdækning, auditgrundlag og afhængigheder hos relying parties, så en konsolideret politik ikke ender som en driftsforstyrrelse, når standardkravene slår igennem. (digst.dk)
-
PNR og sikkerhedsdata Forbered processer til domstolsprøvelse, herunder standardiserede begrundelser, logning og interne kontrolspor, fordi “hurtig adgang” i praksis bliver dyrt, hvis kendelses- og hasteprocesser ikke er operationelle fra dag ét. (edpb.europa.eu)
-
Forskningsdata Etabler én intern “arkivvej” for forskningsprojekter, så dataansvar, dokumentation og anmeldelse ikke bliver et sent projekttrin, men et styringspunkt ved dataindsamlingens afslutning. (rigsarkivet.dk)
-
APV-data Opdater virksomhedens interne datakort: hvor ligger APV-materialer, hvem har adgang, og hvad er slette- og opbevaringspraksis, når data ikke længere ligger i et fælles regime, men tydeligere på virksomhedens egen dataansvarskonto. (at.dk)
-
Grønland og retshåndhævelse Kortlæg overførsler og systemintegrationer, så man kan skelne mellem GDPR-sporet og retshåndhævelsessporet, særligt der hvor domstole, kriminalforsorg og danske samarbejdspartnere deler systemer, sager eller driftsleverandører. (datatilsynet.dk)
