Chatkontrol blev det mest betændte teknologipolitiske ord i Danmark i andet halvår af 2025. Da Danmark overtog formandskabet i Rådet for Den Europæiske Union den 1. juli 2025, satte regeringen forslaget om obligatorisk scanning af private beskeder øverst på dagsordenen. Ni måneder senere, den 26. marts 2026, stemte Europa-Parlamentet 228 mod 311 om at forlænge de midlertidige regler, og den 3. april 2026 udløb hele det juridiske grundlag for frivillig scanning. Resultatet er et af de mest dramatiske nederlag for masseovervågning af kommunikation i EU’s historie.

Denne analyse gennemgår, hvad chatkontrol er, hvordan Danmarks formandskab forsøgte at lande et kompromis, hvorfor forslaget kollapsede, og hvad det betyder for kryptering, tech-sektoren og helt almindelige danske brugere. Tallene, datoerne og aktørerne i artiklen stammer fra offentlige kilder fra 2025 og 2026, blandt andre Europa-Parlamentet, Europa-Kommissionen, European Digital Rights (EDRi) og brancheorganisationen Bitkom.

Hvad er chatkontrol, og hvorfor deler det vandene?

Chatkontrol er kælenavnet, som modstanderne har givet EU’s forordning om bekæmpelse af seksuelt misbrug af børn på nettet, på engelsk CSA Regulation. Europa-Kommissionen fremlagde forslaget den 11. maj 2022 under daværende kommissær for indre anliggender Ylva Johansson. Det officielle formål er at forpligte digitale tjenester til at opdage, rapportere og fjerne materiale om seksuelt misbrug af børn (CSAM).

Kernen i striden er detektionsordrer. I den oprindelige tekst kunne en myndighed pålægge en tjeneste som beskedapps, e-mail eller cloud-lagring at scanne brugernes indhold for kendt og ukendt misbrugsmateriale samt for grooming. Fordi mange af disse tjenester bruger end-to-end-kryptering, ville scanningen i praksis skulle foregå på selve enheden, før beskeden krypteres. Den teknik kaldes client-side scanning, og det er her, kryptografer, digitale rettighedsorganisationer og en stor del af tech-industrien sætter hælene i.

Fortalerne, herunder børnebeskyttelsesorganisationer som Internet Watch Foundation (IWF), argumenterer for, at platformene ellers bliver fristeder for overgrebsmateriale. Modstanderne mener, at obligatorisk scanning af alle borgeres private kommunikation er uforholdsmæssig masseovervågning, der bryder med både kryptering og grundlæggende rettigheder. Den konflikt er ikke ny, men den toppede under det danske formandskab.

Tidslinjen: fra Bruxelles 2022 til afstemningen i 2026

Sagen har bevæget sig gennem fire formandskaber, før den nåede sit foreløbige klimaks i foråret 2026. Det belgiske, ungarske og polske formandskab forsøgte alle at samle et kvalificeret flertal i Rådet i 2024 og 2025, men mislykkedes hver gang. Det danske formandskab arvede altså en sag, der allerede havde fejlet tre gange. Tabellen nedenfor samler de centrale datoer.

DatoBegivenhedKilde
11. maj 2022Kommissionen fremlægger CSA-forordningen under kommissær Ylva JohanssonEuropa-Parlamentet, EDRi
2024-2025Tre formandskaber (Belgien, Ungarn, Polen) opnår ikke kvalificeret flertal i RådetEuropa-Parlamentet
1. juli 2025Danmark overtager EU-formandskabet og prioriterer forslagetDet danske formandskabs program
30. oktober 2025Det danske formandskab fjerner de obligatoriske detektionsordrer fra Rådets udkastInternet Watch Foundation
Ultimo november 2025Rådet når en fælles holdning uden obligatoriske detektionsordrereucrim
19. december 2025Kommissionen foreslår at forlænge den midlertidige frivillige scanning til 3. april 2028eucrim
26. marts 2026Europa-Parlamentet forkaster forlængelsen med 228 mod 311 stemmereucrim
3. april 2026Den midlertidige forordning om frivillig scanning udløbereucrim

Tidslinjen viser et mønster: et ambitiøst forslag fra 2022, der gentagne gange løb ind i en blokerende minoritet i Rådet, og som til sidst blev udvandet og dernæst tabte sit midlertidige sikkerhedsnet i Parlamentet. For at forstå, hvorfor det endte sådan, skal man se nærmere på det danske formandskabs manøvrer.

Danmarks formandskab satte chatkontrol på dagsordenen

I det officielle program for det danske formandskab blev CSA-forordningen markeret som en høj prioritet. Danmark meldte ud, at man ville fremlægge et kompromisforslag allerede den 1. juli 2025, formandskabets første dag. Ambitionen var klar: at bryde det dødvande, som tre tidligere formandskaber havde efterladt, og lande en aftale i Rådet.

Det danske udkast fra efteråret 2025 blev af flere iagttagere beskrevet som en bevægelse mod et bredt, obligatorisk regime. Brancheorganisationen Bitkom konstaterede i et udspil dateret 19. september 2025, at “Denmark proposes mandatory chat control”, altså at Danmark foreslog obligatorisk chatkontrol. Bitkom bakkede op om målet om at bekæmpe overgreb, men advarede samtidig om hensynet til cybersikkerhed og grundlæggende rettigheder.

Den danske strategi var politisk risikabel. Forslaget om at scanne private beskeder havde mobiliseret en bred koalition af kritikere på tværs af partiskel, fra digitale rettighedsorganisationer til store dele af teknologisektoren. Da modstanden voksede, ændrede formandskabet kurs.

Vendepunktet: Danmark droppede de obligatoriske scanningsordrer

Det afgørende skift kom den 30. oktober 2025. Ifølge Internet Watch Foundation annoncerede det danske formandskab, at det ville fjerne de obligatoriske detektionsordrer fra Rådets version af forordningen. Det var netop disse ordrer, der havde gjort forslaget til “chatkontrol” i kritikernes øjne, fordi de i praksis ville tvinge tjenester til at scanne krypteret kommunikation.

Mediet Euractiv beskrev manøvren som, at det danske formandskab “backed away from chat control”, altså trak sig fra chatkontrol. Ultimo november 2025 nåede Rådet en fælles holdning, der bevarede de strukturelle elementer fra 2022-forslaget, risikovurdering, risikoreduktion, fjernelsesordrer, tilsyn og det planlagte EU-center, men bevidst udelod de obligatoriske detektionsordrer. Med andre ord: rygraden i forslaget overlevede, men det mest indgribende element blev skåret væk.

For børnebeskyttelsesorganisationer var det en skuffelse. IWF udtrykte den 11. november 2025 forståelse for, at man ville undgå et juridisk tomrum, men efterlyste større ambition i forhandlingerne. For digitale rettighedsorganisationer som EDRi og CDT Europe var det derimod et delvist gennembrud, om end de fortsat advarede mod resterne af forslaget. CDT Europe indsendte sin kritiske feedback til det danske udkast den 26. november 2025.

Afstemningen der stoppede forslaget: 228 mod 311

Mens Rådet fjernede de obligatoriske ordrer, opstod et nyt problem. De eksisterende, midlertidige regler, der tillod platforme at scanne frivilligt for overgrebsmateriale, var ved at udløbe. Den 19. december 2025 foreslog Kommissionen derfor at forlænge denne midlertidige undtagelse helt frem til den 3. april 2028.

Den forlængelse blev sagens vendepunkt. Den 26. marts 2026 stemte Europa-Parlamentet om forslaget og forkastede det med 228 stemmer for og 311 imod. Uden en forlængelse bortfaldt det juridiske grundlag, og den 3. april 2026 udløb den midlertidige forordning om frivillig scanning. Resultatet er, at der i 2026 hverken findes et obligatorisk chatkontrol-regime eller den tidligere frivillige ordning på plads i sin gamle form.

Det efterlader CSA-forordningen i et juridisk limbo. Rådet har en holdning uden obligatorisk scanning, Parlamentet har afvist at forlænge den midlertidige undtagelse, og de to institutioner skal stadig forhandle den endelige tekst på plads i trilog. For nu er den mest indgribende form for masseovervågning af beskeder taget af bordet, men den underliggende forordning er ikke endeligt afgjort.

Hvad client-side scanning betyder teknisk

For at forstå hvorfor kryptografer reagerer så kraftigt, skal man forstå forskellen mellem serverside-scanning og client-side scanning. Når en tjeneste ikke bruger end-to-end-kryptering, kan udbyderen scanne indholdet på sine egne servere. Med ægte end-to-end-kryptering kan kun afsender og modtager læse beskeden, og udbyderen ser kun krypteret tekst. For at scanne alligevel skal kontrollen flyttes ind på enheden, før krypteringen sker.

Sådan adskiller de to modeller sig

Den følgende forenklede pseudokode illustrerer princippet. Den er ikke kode fra et konkret produkt, men en model, der viser, hvor scanningen indsættes.

// Ægte end-to-end-kryptering: kun parterne kan læse beskeden
besked = "Hej"
krypteret = encrypt(besked, modtagerNoegle)
send(krypteret)        // udbyderen ser kun krypteret data

// Client-side scanning: enheden scanner FOER kryptering
besked = "Hej"
if scanForCSAM(besked) == "match":
    rapporter(besked, myndighed)   // indholdet aflæses paa enheden
krypteret = encrypt(besked, modtagerNoegle)
send(krypteret)

Indvendingen fra kryptografer er, at den anden model i praksis ophæver fordelene ved end-to-end-kryptering. Når enheden selv kan aflæse og rapportere indhold, før det krypteres, bliver krypteringen en facade. EDRi formulerer det som, at forslaget ville modvirke brugen af end-to-end-kryptering og forvandle private enheder til potentielle overvågningsredskaber. Samme bekymring går igen i den bredere fagdebat om, at en scanningsmekanisme, der er bygget til ét formål, senere kan udvides til andre.

Aktørerne: kryptografer, industri og børnebeskyttelse

Chatkontrol-debatten har skarpt optrukne fronter. Nedenfor er de centrale aktører og deres dokumenterede positioner i 2025 og 2026, gengivet efter deres egne offentlige udmeldinger.

  • Patrick Breyer, tidligere medlem af Europa-Parlamentet for Piratpartiet, har været en af de mest synlige modstandere. Ifølge offentligt gengivne udsagn fra 2025 fremhævede han, at flere medlemslande, blandt andre Tyskland, Holland, Polen og Østrig, havde sagt nej til vilkårlig chatkontrol, og han advarede mod en bagdørs-genoplivning af obligatorisk scanning.
  • EDRi (European Digital Rights) har gennem hele forløbet argumenteret for, at forslaget ikke finder de rette løsninger og risikerer at svække krypteringen for alle borgere.
  • CDT Europe indsendte den 26. november 2025 kritisk feedback til det danske udkast og advarede mod de tilbageværende indgribende elementer.
  • Bitkom, den tyske digitale brancheorganisation, bakkede op om målet om at bekæmpe overgreb, men knyttede sin støtte til klare krav om cybersikkerhed og grundlæggende rettigheder.
  • Internet Watch Foundation ønskede et stærkere forslag og advarede mod et juridisk tomrum i opdagelsen af overgrebsmateriale, da de obligatoriske ordrer blev fjernet.

Det interessante er, at fronterne ikke følger klassiske partiskel. Modstanden mod obligatorisk scanning samlede både liberale, grønne og dele af venstrefløjen, mens støtten kom fra en blanding af konservative kræfter og børnebeskyttelsesorganisationer. Denne tværgående koalition var en væsentlig grund til, at en blokerende minoritet i Rådet kunne holde forslaget fra at passere gennem flere formandskaber.

Signal, krypteret kommunikation og truslen om exit

De krypterede beskedtjenester har været blandt forslagets hårdeste kritikere. Signal har offentligt og gentagne gange afvist enhver model, der kræver client-side scanning, med det argument, at en sådan mekanisme grundlæggende bryder end-to-end-kryptering. Ledelsen i Signal har i krypteringsdebatten meldt klart ud, at tjenesten hellere vil trække sig fra et marked end at indbygge en bagdør, der underminerer brugernes sikkerhed.

Den holdning deles bredt blandt sikkerhedsorienterede tjenester. Argumentet er konsekvent: en bagdør kan ikke gøres tilgængelig kun for de gode. Når først en scanningsmekanisme er indbygget i enheden, udgør den et angrebspunkt, som kriminelle, fremmede efterretningstjenester eller fremtidige regeringer potentielt kan udnytte. For danske brugere, der søger sikker kommunikation, er valget af tjeneste derfor blevet et politisk og ikke kun teknisk spørgsmål. Du kan læse mere om alternativerne i vores gennemgang af krypteret e-mail og anonym browsing med Tor.

Markedsmæssig betydning for tech-sektoren og borgerne

Udfaldet i foråret 2026 har konsekvenser langt ud over selve lovteksten. For tech-sektoren betyder den manglende afklaring fortsat regulatorisk usikkerhed, men også et midlertidigt åndehul fra de mest byrdefulde scanningskrav. Tabellen nedenfor opsummerer, hvad resultatet betyder for de forskellige interessenter.

InteressentKonsekvens af udfaldet i 2026Risiko fremadrettet
Krypterede beskedtjenesterIngen pligt til client-side scanning lige nuForslaget kan genopstå i trilog-forhandlinger
Store platforme (sociale medier, cloud)Den frivillige scanning mistede sit juridiske grundlag 3. april 2026Uklarhed om lovlig frivillig opdagelse af CSAM
Danske og nordiske virksomhederMindre overholdelsesbyrde på kort sigtFortsat usikkerhed om fremtidige krav
BørnebeskyttelseTab af obligatoriske detektionsordrerFrygt for juridisk tomrum i opdagelsen
PrivatbrugereStærkere beskyttelse af privat kommunikationDebatten er ikke endeligt afgjort

For den danske tech-økonomi er signalværdien vigtig. Danmark profilerer sig som et digitalt foregangsland, og en sag, hvor det danske formandskab først pressede på for og siden trak sig fra obligatorisk scanning, sender et blandet budskab til investorer og iværksættere i sikkerhedsbranchen. Samtidig hænger sagen sammen med en bredere europæisk reguleringsbølge, der omfatter NIS2 for kritisk infrastruktur og DORA for finanssektoren.

Sådan står de nordiske lande i kryptodebatten

Selvom chatkontrol er en EU-sag, har de nordiske lande forskellige udgangspunkter. Danmark sad med formandsklubben og dermed med ansvaret for at finde et kompromis. De øvrige nordiske lande har skullet forholde sig til forslaget som almindelige medlems- eller samarbejdslande. Debatten føjer sig til en bredere nordisk diskussion om digital selvbestemmelse, som vi har behandlet i vores artikel om digital suverænitet i Danmark og analysen af cybertrusler i Norden.

Det fælles træk i Norden er en høj grad af digitalisering kombineret med en stærk tradition for databeskyttelse. Borgerne bruger digitale tjenester intensivt, men har samtidig en høj forventning til privatlivets fred. Den kombination gør chatkontrol til et politisk minefelt i regionen, hvor en bred befolkningsmodstand mod overvågning af private beskeder har været mærkbar gennem hele forløbet.

For danske og nordiske organisationer er den praktiske lære, at compliance-landskabet er i konstant bevægelse. En forordning, der i ét halvår ser ud til at blive vedtaget i streng form, kan i det næste blive udvandet eller falde helt. Det stiller krav til en fleksibel sikkerhedsstrategi, der ikke bygger på et enkelt politisk udfald.

Historisk kontekst: tidligere forsøg på at svække kryptering

Chatkontrol er ikke det første forsøg på at give myndigheder adgang til krypteret kommunikation. Debatten går tilbage til 1990’ernes såkaldte krypto-krige, hvor myndigheder forsøgte at begrænse stærk kryptering i forbrugerprodukter. Argumentet har historisk været det samme: at kriminelle og overgrebsmænd gemmer sig bag kryptering, og at samfundet derfor har brug for en form for adgang.

Modargumentet har også været konsistent gennem årtier. Sikkerhedsforskere påpeger, at man ikke kan bygge en bagdør, der kun virker for de gode. Enhver svækkelse af krypteringen svækker den for alle, inklusive journalister, aktivister, virksomheder og helt almindelige borgere. Den samme logik gælder for client-side scanning, der ofte beskrives som en bagdør placeret før døren i stedet for bagved den.

Det, der gjorde chatkontrol-sagen særlig, var skalaen. Hvor tidligere forslag handlede om målrettet adgang i konkrete sager, ville obligatoriske detektionsordrer i princippet ramme alle brugeres beskeder på de berørte platforme. Det er den forskel mellem målrettet og generaliseret overvågning, der gjorde forslaget til et principielt vendepunkt i europæisk digitalpolitik. For en grundlæggende forståelse af, hvordan kryptering og HTTPS og TLS beskytter data, har vi en separat gennemgang.

Fem forudsigelser for chatkontrol efter 2026

Sagen er ikke afsluttet, og udfaldet i foråret 2026 er snarere en pause end et punktum. Følgende fem vurderinger bygger på det dokumenterede forløb og den politiske dynamik omkring forordningen.

  • Forslaget vender tilbage i ny form. Rådets holdning uden obligatoriske detektionsordrer skal stadig forhandles med Parlamentet i trilog. Det er sandsynligt, at en revideret tekst dukker op igen i løbet af 2026 og 2027.
  • Frivillig scanning får et nyt retsgrundlag. Da den midlertidige undtagelse udløb 3. april 2026, opstod der et juridisk tomrum for platforme, der vil scanne frivilligt. Der vil komme pres for en ny, mere afgrænset løsning.
  • Kryptering bliver et stærkere salgsargument. Den intense debat har gjort end-to-end-kryptering til et synligt konkurrenceparameter, og flere tjenester vil markedsføre sig på, at de ikke scanner indhold.
  • Børnebeskyttelse søger alternative veje. Med de obligatoriske ordrer ude af Rådets tekst vil organisationer som IWF lægge vægt på frivillige værktøjer, metadata-analyse og hurtigere fjernelsesordrer.
  • Norden forbliver et tyngdepunkt for modstand. Den stærke nordiske tradition for databeskyttelse gør det sandsynligt, at regionen fortsat vil være kritisk over for ethvert forslag om generaliseret scanning.

Hvad betyder det for dig som dansk bruger?

For den almindelige danske bruger er den umiddelbare konsekvens, at dine private beskeder ikke bliver underlagt obligatorisk scanning i 2026. End-to-end-kryptering i tjenester som Signal fungerer fortsat, som den skal. Men sagen er en påmindelse om, at den beskyttelse hviler på et politisk grundlag, der kan ændre sig.

Konkret bør du fortsat vælge tjenester med ægte end-to-end-kryptering til følsom kommunikation, holde dig orienteret om den fortsatte trilog-proces og være opmærksom på forskellen mellem tjenester, der scanner indhold, og tjenester, der ikke gør. Sikkerhed handler ikke kun om teknik, men også om at forstå de regler, der omgiver teknikken.

Ofte stillede spørgsmål om chatkontrol

Er chatkontrol vedtaget i EU?

Nej. Rådet vedtog ultimo november 2025 en holdning uden obligatoriske detektionsordrer, og Europa-Parlamentet forkastede den 26. marts 2026 en forlængelse af de midlertidige scanningsregler med 228 mod 311 stemmer. Den samlede CSA-forordning er endnu ikke endeligt vedtaget.

Hvad var Danmarks rolle i chatkontrol?

Danmark havde formandskabet i Rådet fra 1. juli 2025 og prioriterede forslaget højt. Det danske formandskab forsøgte først at lande et kompromis og fjernede den 30. oktober 2025 de obligatoriske detektionsordrer fra Rådets udkast, før Rådet nåede en fælles holdning i november 2025.

Hvorfor er kryptografer imod client-side scanning?

Fordi scanning på enheden, før beskeden krypteres, i praksis ophæver fordelene ved end-to-end-kryptering. Når enheden kan aflæse og rapportere indhold, bliver krypteringen en facade, og selve scanningsmekanismen udgør et nyt angrebspunkt, som andre kan misbruge.

Hvad skete der den 3. april 2026?

Den midlertidige forordning, der gav platforme lov til at scanne frivilligt for overgrebsmateriale, udløb. Det skete, fordi Europa-Parlamentet en uge forinden havde forkastet Kommissionens forslag om at forlænge ordningen frem til 2028.

Påvirker chatkontrol Signal og andre krypterede apps?

Som reglerne ser ud i 2026, er der ingen pligt til client-side scanning, så apps med end-to-end-kryptering kan fortsætte uændret. Signal og lignende tjenester har dog markeret, at de hellere vil trække sig fra et marked end at indbygge en bagdør, hvis et fremtidigt forslag skulle kræve det.

Kan chatkontrol komme igen?

Ja. Rådet og Parlamentet skal stadig forhandle den endelige tekst i trilog, og et nyt retsgrundlag for frivillig scanning er sandsynligt. Forløbet viser, at sagen kan skifte karakter fra det ene halvår til det andet.

Relateret dækning

Eksterne kilder