Ordliste

A   B    C    D    E    F   G    H    I    J    K    L    M    N    O    P    Q    R    S    T    U    V    W    X    Y    Z    Æ    Ø    Å

A

Adfærdskodeks: En samling af retningslinjer som virksomheder indenfor en branche eller en sektor er enige om at følge. En databeskyttelsesretlig adfærdskodeks er et sæt retningslinjer, der har til formål at specificere og konkretisere de regler, der følger af databeskyttelseslovgivningen.

Adgangsrettigheder: Personers adgange til fysiske og elektroniske aktiver (it-systemer, data, fysiske lokaler, mv.), og hvad brugerne kan med disse adgange (læse, ændre, slette, mv.).

Advarsel: En korrigerende beføjelse fra artikel 58 i databeskyttelsesforordningen, hvor Datatilsynet kan udstede advarsler til en dataansvarlig eller en databehandler, hvis planlagte behandlingsaktiviteter sandsynligvis vil være i strid med forordningen.

Afgørelse: I forvaltningsloven er en afgørelse en retsakt (forvaltningsakt), dvs. en udtalelse, der går ud på at fastsætte, hvad der er eller skal være ret i et foreliggende tilfælde.

AI: Står for Artificial Intelligence (på dansk kunstig intelligens). Der findes endnu ingen præcis og universelt accepteret definition af AI, men meget forenklet er systemer baseret på AI, herunder f.eks. på maskinlæring, systemer, der igennem genkendelse af mønstre og sammenhænge i datasæt kan udlede konklusioner og anvende disse i fremtidige analyser.

Anonymisering: En proces, der sikrer, at data ikke kan knyttes til en fysisk person.

API: Står for Application Programming Interfaces og er essentielle byggesten i moderne applikationer, fordi de gør det muligt for forskellige applikationer og systemer at kommunikere og udveksle data. Brugen af API'er kan imidlertid udgøre en risiko for utilsigtet eksponering af personoplysninger, hvis de ikke bruges og beskyttes korrekt.

Artikel 29-gruppen: Tidligere rådgivende organ for EU-kommisionen i persondataspørgsmål. Kaldes i dag European Data Protection Board (EDPB).

Autentificering: Handling for at kontrollere og bekræfte identiteten af en bestemt bruger.

Auto-complete: Funktion som fungerer ved at gemme navne og e-mailadresser på modtagere af e-mails, som en bruger tidligere har sendt en e-mail til. Herigennem oplistes automatisk forslag til modtageren når brugeren en anden gang begynder at skrive i et af modtagerfelterne.

Automatisk behandling: At en behandling eller en afgørelse er automatisk betyder, at der ikke er nogen fysisk person involveret. Du har ret til, at afgørelser der har betydelig påvirkning på dig (f.eks. retsvirkning) ikke kun er baseret på automatisk behandling.

Autorisation: Fuldmagt, godkendelse – udstedt af en autoritet, for eksempel en leder eller systemejer.

At autorisere: At bemyndige, godkende.

Autorisationsansvarlig: En person, som er udpeget til at kunne autorisere og dermed godkende andres adgange til for eksempel it-systemer og software. Dette kan eksempelvis være nærmeste leder, hvis vedkommende er den bedste til at vurdere, hvilke adgangsrettigheder medarbejderne har behov for. Men det kan også være personer med titlen "systemejer" (fagchefer), og disse kan have et mere sikkerhedsrettet fokus end nærmeste leder.

B

Backup: Backup kan anvendes til at genetablere adgang til data, som er blevet utilgængelig eller ødelagt af for eksempel ondsindet software eller et it-nedbrud.

Behandlingsgrundlag: Retligt grundlag for behandling af personoplysninger. Det kan f.eks. være samtykke eller offentlig myndighedsudøvelse.

Biometri: Måling af biologiske mønstre, der kan anvendes til identifikation af en fysisk person. Biologiske mønstre kan være fysiologiske karaktertræk (f.eks. fingeraftryk eller ansigtstræk) eller adfærdsmønstre.

Brugeradministrator: En person, som er udpeget til at tildele andre personer adgang og rettigheder i ét eller flere it-systemer eller fysiske adgangsmedier, hvor denne tildeling sker på baggrund af en autorisation.

Brugeradministrering: Brugeradministrering er en proces, der ofte i vidt omfang består af organisatoriske foranstaltninger, som skal sikre, at kun de rigtige personer har en nøgle til døren, en adgangskode til it-systemet, osv. Men der kan også være tekniske foranstaltninger, der hjælper brugeradministratoren igennem processen, forhindrer fejl, samt dokumenterer, at opgaver er udført i henhold til anmodninger/godkendelser fra en autorisationsansvarlig.

Bødesag: En sag som er politianmeldt, og hvor der indstilles til bøde for alvorlige overtrædelser af databeskyttelsesreglerne.

C

Certificeringsordning: En certificering efter databeskyttelsesforordningen vil være målrettet påvisningen af, at en eller flere behandlingsaktiviteter, herunder tilknyttede processer og procedurer, overholder specifikke krav i databeskyttelsesforordningen.

Cloud: En model til at tilvejebringe standardiserede it-ressourcer, typisk på større decentrale samlinger af servere, der tilgås via internettet.

Cookie wall: En fremgangsmåde, hvor en virksomhed gør adgangen til sin hjemmeside eller tjeneste betinget af samtykke til behandling af personoplysninger.

D

Dataansvarlig: Den dataansvarlige er den person, virksomhed, myndighed eller anden organisation, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

DatabehandlerDatabehandleren er den person, virksomhed, myndighed eller anden organisation, der behandler personoplysninger på den dataansvarliges vegne.

Databehandleraftale: En skriftlig aftale mellem dataansvarlig og databehandler om, hvordan personoplysninger skal behandles. Aftalen skal indgås, når en virksomhed eller myndighed vælger at benytte en anden myndighed eller virksomhed til at behandle personoplysninger på sine vegne.

Databeskyttelse: Enhver har ret til beskyttelse af sine personoplysninger, og enhver, der behandler personoplysninger om andre i ikke-privat sammenhæng, er forpligtet til at iagttage databeskyttelsesreglerne. Disse regler går samlet under betegnelsen "databeskyttelse".

Databeskyttelsesloven: Den danske lov der supplerer GDPR (databeskyttelsesforordningen).

Databeskyttelsesrådgiver (DPO): En databeskyttelsesrådgiver er en rådgiverfunktion i en organisation, der skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler.

Dataminimering: Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet.

Dataportabilitet: Muligheden for at flytte personoplysninger om sig selv (indhold) mellem forskellige systemer og tjenester.

E

EDPB: European Data Protection Board. Det Europæiske Databeskyttelsesråd (eller blot Databeskyttelsesrådet) er et uafhængigt EU-organ, som skal sikre en ensartet anvendelse af databeskyttelsesforordningen og retshåndhævelsesdirektivet i hele EU. Afløste Artikel 29-Gruppen.

EDPS: European Data Protection Supervisor. Den Europæiske Tilsynsførende for Databeskyttelse er den uafhængige databeskyttelsesmyndighed i EU. EDPS er med andre ord "datatilsyn" for EU's institutioner og organer og er som sådan også medlem af EDPB (se ovenstående).

Efterlevelse: Ofte omtalt med det engelske ord compliance, og handler om at sikre en overholdelse af love, regler og interne retningslinjer.

F

Foranstaltning: Tiltag, der bevarer og/eller ændrer en risiko. En foranstaltning kan være forebyggende, opdagende, korrigerende eller en kombination af disse.

Forbud: Et forbud kan være en midlertidig eller definitiv begrænsning af behandling (artikel 58).

Formålsbegrænsning: Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål.

Forordning: Betegnelse for en EU-lov som i sin helhed får en bindende virkning i alle medlemsstaterne.

G

GDPR: Forkortelse for General Data Protection Regulation og er EU's regler for databeskyttelse. På dansk går GDPR ofte under betegnelserne databeskyttelsesforordningen eller persondataforordningen.

 

I

Informationssikkerhed: Sikring af oplysninger/information ved brug af principperne om konfidentialitet, integritet og tilgang, så de ikke kompromitteres. 

IP-adresse: Engelsk forkortelse for Internet Protocol Address og består af et unikt nummer, som identificerer en enhed på et netværk f.eks. internettet.

ISO: Står for International Organization for Standardization. Standarden er en vejledning i, hvorledes konsekvensanalyse (Privacy Impact Assesment proces) kan udføres. Standarden beskriver processen i en række trin, og sætter bl.a. fokus på, at behandlingssikkerhed bliver iagttaget og indarbejdet i f.eks. design og implementeringen af IT-løsninger.

K

Konsekvensanalyse: En konsekvensanalyse vedr. databeskyttelse er en proces, der har til formål at beskrive behandlingen af personoplysninger, vurdere behandlingens nødvendighed og proportionalitet og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører.

Kritik: En korrigerende beføjelse i artikel 58, hvor Datatilsynet kan udtale kritik af en dataansvarlig eller af en databehandler, hvis behandlingsaktiviteter har været i strid med forordningen.

Kryptering: Metode til at gøre data (f.eks. tekst) ulæseligt for andre vha. en matematisk funktion (krypteringsteknik/-algoritme) og en forhåndsbestemt nøgle. Dette er en teknisk sikkerhedsforanstaltning.

O

One-stop-shop: One-stop-shop-mekanismen går ud på, at det som udgangspunkt er tilsynsmyndigheden i det land, hvor den dataansvarlige har sin hovedetablering (den ledende tilsynsmyndighed), som kan tage stilling til, om den dataansvarlige har overtrådt databeskyttelsesreglerne.

Opbevaringsbegrænsning: Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes.

Oplysningspligt: Gælder ift. alle registrerede, og det indebærer, at den dataansvarlige på eget initiativ har pligt til at give den registrerede en række oplysninger, når du indsamler personoplysninger om vedkommende.

P

Persondataloven: Lov der blev implementeret på baggrund af et EU-direktiv, der blev vedtaget den 24. juli 1995 og trådte i kraft i Danmark som Persondataloven den 1. juli 2000. Persondataloven blev i 2018 erstattet med GDPR og databeskyttelsesloven.

Persondatapolitik: En persondatapolitik kan være nyttig at have, fordi den kan hjælpe den dataansvarlige med at leve op til nogle af de principper og krav, som GDPR stiller, herunder oplysningspligten.

Personhenførbar: Når det i praksis er muligt, at identificere en person ud fra de pågældende oplysninger eller i kombination med andre, så er oplysningen personhenførbar.

Personnummer: De ti cifre hvori din fødselsdato indgår. Kaldes også CPR-nummer.

Personoplysninger: Enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Det kan for eksempel være et personnummer, en adresse, et registreringsnummer, et billede eller et fingeraftryk.

Profilering: En fremgangsmåde, som omfatter en række statistiske antagelser om en eller flere personer. Profilering bruges ofte til at foretage forudsigelser om en person ved at udlede forhold om den pågældende ud fra de statistiske fællestræk, som vedkommende har med lignende personer.

Pseudonymisering: Oplysninger, der kun kan henføres til en fysisk person ved anvendelse af yderligere oplysninger, men hvor adgangen til disse yderligere oplysninger er stærkt begrænset.

Påbud: En bestemmelse eller et krav om at en virksomhed eller myndighed skal handle på en bestemt måde med henvisning love og/eller regler. Modtageren har pligt til at efterkomme påbuddet.

R

Registerlovene: Regler for beskyttelse af danskernes personoplysninger fra år 1979-2000. Et sæt af love og regler, som skulle være med at sikre, at brugen af personoplysninger skete på en sådan måde, at den enkelte borgers retsbeskyttelse og integritet ikke blev krænket. Registerlovene blev i 2000 erstattet af Persondataloven.

Registrerede: De registrerede er de personer, der behandles oplysninger om, og de har en række rettigheder i databeskyttelsesforordningen.

Regulatorisk sandkasse: Datatilsynet og Digitaliseringsstyrelsen har etableret en regulatorisk sandkasse for AI, hvor virksomheder og myndigheder kan få gratis adgang til relevant ekspertise og vejledning i GDPR.

Ret til berigtigelse: Du har ret til at få urigtige/forkerte personoplysninger om dig rettet. Du har også ret til at få gjort ufuldstændige personoplysninger om dig fuldstændige.

Ret til indsigt: Du har som udgangspunkt ret til at se de personoplysninger, den dataansvarlige behandler om dig. Du har ret til at få en kopi udleveret og du har ret til at vide, hvordan dine personoplysninger behandles.

Ret til indsigelse: Du har ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger, f.eks. hvis du har "tungtvejende grunde" imod behandlingen.

Ret til oplysning: Du har ret til at modtage en række oplysninger, når virksomheder, myndigheder og organisationer behandler oplysninger om dig.

Rettigheder: Når der behandles oplysninger om dig, har du som borger en række rettigheder over for den, som behandler dine oplysninger.

Rigtighed: Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges.

Risikovurdering: Allerede før en behandling foretages skal den dataansvarlige foretage en kortlægning over risikoen for de registreredes rettigheder og så en afvejning af disse risici ift. De forholdsregler der bliver truffet for at beskytte disse rettigheder.

S

Samtykke: Frivillig, specifik, informeret og utvetydig erklæring fra den registrerede om at vedkommende indvilliger i behandling af personoplysninger om sig selv.

Sikkerhedsbrud: Et brud på persondatasikkerheden kan omtales som et sikkerhedsbrud og skal anmeldes til Datatilsynet.

Sikkerhedskopiering: Kopiering af information opbevaret i et informationssystem for at den ikke skal gå tabt eller ødelægges.

Sporing: Handling hvor man kan følge de digitale/elektroniske spor, som en person/bruger efterlader.

Suspension: En korrigerende beføjelse fra artikel 58 i databeskyttelsesforordningen, som knytter sig til, at den dataansvarlige bliver påbudt at suspendere en påtænkt overførsel af personoplysninger til en modtager i et tredjeland.

T

Tilstrækkelighedsafgørelse: EU-Kommissionen kan træffe en såkaldt tilstrækkelighedsafgørelse, hvis beskyttelsesniveauet for personoplysninger i et tredjeland i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. Afgørelsen indebærer, at man kan overføre personoplysninger til det pågældende tredjeland på det grundlag.

Tilsyn: En fælles betegnelse for instanser indenfor offentlig forvaltning, der fører tilsyn med at love og regler bliver overholdt. Datatilsynet fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder reglerne for databeskyttelse.

Tredjelandsoverførsel: Overførsel af personoplysninger til lande eller internationale organisationer uden for EU/EØS.

U

Uautoriseret adgang: En adgang, som ikke er autoriseret (godkendt). Det kan opstå f.eks. hvis en autorisation udløber, uden at adgangen lukkes. Bemærk, at det er uafhængigt af, om adgangen er anvendt eller ej. En person kan altså have haft uautoriseret adgang til data uden at denne person nogensinde har tilgået de data, som der var adgang til.

W

Whistleblowerordning: En whistleblowerordning giver mulighed for anonymt at indberette kritiske forhold eller lovovertrædelser på arbejdspladsen. I Den Nationale Whistleblowerordning, som er etableret hos Datatilsynet, kan man indberette forskellige alvorlige lovovertrædelser og andre alvorlige forhold (ikke kun sager om GDPR og databeskyttelse), som du får kendskab til gennem dit arbejde.