De væsentligste nye temaer er:

 • CPR-nummer er en særlig oplysningskategori,
  som det kræver lovhjemmel eller samtykke at
  behandle.
 • Alle virksomheder har pligt til at anvende ‘sikker
  mail’, hvis de behandler følsomme eller fortrolige
  personoplysninger, herunder CPR-nummer, via
  mail.
 • Krav til databehandleraftaler: Hvem skal skolen
  have databehandleraftaler med, og hvad skal
  aftalerne indeholde.
 • Krav til risiko- og konsekvensanalyser (ikke
  lovpligtigt for frie skoler).

Se vejledningen her.

Nyt om offentliggørelse af billeder
Efter redaktionens afslutning har Datatilsynet desuden opdateret sin vejledning om offentliggørelse af billeder på internettet. Skellet mellem portrætbilleder og situationsbilleder bruges nu heller ikke længere af Datatilsynet. I stedet kan skolen offentliggøre billeder med samtykke eller på baggrund af interesseafvejningsreglen om legitim interesse i offentliggørelse. Når I offentliggør billeder uden samtykke, er det afgørende, at de personer, der optræder på billederne, ikke med rimelighed må kunne føle sig udstillet, udnyttet eller krænket, herunder i markedsføringsøjemed.

En tommelfingerregel er, at samtykke er bedst som hjemmel til offentliggørelse af billeder fra skolens hverdagssituationer med elever. Billeder fra offentlige sammenhænge kan offentliggøres uden samtykke. Det gælder fx åbent hus, gymnastikopvisninger, idrætsturneringer, bedsteforældredag, teaterforestillinger, etc.