Datatilsynets afgørelser

Datatilsynet har i 2021 afgjort en række bødesager om uvedkommendes adgang til persondata. Kritik udtales om utilstrækkelige sikkerhedsforanstaltninger. Sagerne viser, at passende beskyttelse af persondata bør sikres gennem implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af risikovurdering.

Med afsæt i Datatilsynets afgørelser deres indstillinger til GDPR bøder, giver artiklen indsigt i følgende:

1. Hvem er ansvarlig for, at sikre passende beskyttelse af persondata?
2. Hvad skal du ifølge Datatilsynets praksis være særligt opmærksom på?
3. Hvordan sikres implementering af passende sikkerhedsforanstaltninger?

1. Hvem er ansvarlig for at sikre passende beskyttelse af persondata?

Enhver dataansvarlig er ansvarlig for at gennemføre passende tekniske og organisatoriske foranstaltninger, jf. Databeskyttelsesforordningens (GDPR) art. 24, stk. 1. Foranstaltningerne skal dokumenteres og løbende revideres i forhold til formålet med behandlingen af persondata.

GDPR art. 32 indebærer en pligt for den dataansvarlige til at indføre et tilstrækkeligt sikkerhedsniveau. Denne pligt gælder uafhængigt af eventuelle risici for de registrerede. Pligten indebærer iværksættelse af passende sikkerhedsforanstaltninger, såsom kryptering af personoplysninger, sikring af vedvarende fortrolighed samt periodisk kontrol med effektiviteten af foranstaltningerne.

2. Datatilsynets afgørelser: Hvad skal du være særligt opmærksom på ift. GDPR bøder?

Nedenfor beskrives Datatilsynets seneste praksis igennem en case by case redegørelse. Det gennemgående tema for Datatilsynets sager er, at de dataansvarlige ikke har sikret passende beskyttelse af persondata. Datatilsynet har af egen drift og på baggrund af anmeldelser om brud på persondatasikkerheden, udført undersøgelser af en række dataansvarlige, som herefter blev politianmeldt og indstillet til GDPR bøder af varierende størrelse.

16. juni: Datatilsynets afgørelse om Vejle Kommune – indstillet til bøde på kr. 200.000

Bruger din organisation automatiske processer, bør du som dataansvarlig overveje, om processen indeholder videregivelse af persondata. Datatilsynet indstillede i juni 2021 Vejle Kommune til en bøde på kr. 200.000 på baggrund af en usikker automatiseret proces hos den kommunale tandpleje. Hos tandplejen var det fast praksis automatisk at fremsende velkomstbreve til mindreårige, som indeholdt begge forældres adresser – uagtet, om forælderen havde navne- og adressebeskyttelse. Vejle Kommune havde ikke i de enkelte tilfælde vurderet, om oplysningerne måtte videregives til den anden forælder, hvilket var kritisabelt.

16. juli: Datatilsynets afgørelse om Region Syddanmark – indstillet til bøde på kr. 500.000

Såfremt personoplysninger lagres i en database og videregives via en URL-løsning, bør du som dataansvarlig sikre, at uvedkommende ikke har adgang til personoplysningerne. I juli 2021 indstillede Datatilsynet Region Syddanmark til en bøde på kr. 500.000 for ikke at have sikret sig imod, at uvedkommende kunne opnå uautoriseret adgang til persondata ved blot at ændre en URL-adresse. Datatilsynet udtaler, at der var stor risiko for, at adgangen blev misbrugt. Dette var en velkendt sårbarhed, som Regionen burde havde taget højde for under udviklingen af løsningen, om ikke andet i forbindelse med den løbende kontrol af persondatasikkerheden.

8. september: Datatilsynets afgørelse om Region Midtjylland – indstillet til bøde på kr. 400.000

Det er vigtigt at overveje, hvem der fysisk og elektronisk har adgang til persondata som din organisation behandler. Datatilsynet indstillede i september 2021 Region Midtjylland til en bøde på kr. 400.000 for med nøglekort at tillade samtlige medarbejdere og patienter adgang til en bygning med et stort antal fysiske patientjournaler. Dette var på trods af, at Regionen havde interne retningslinjer for adgang til lokalet. Datatilsynet fandt, at Regionen ikke havde etableret passende sikkerhedsforanstaltninger omkring opbevaringen af personoplysningerne, idet:

• Forbipasserende igennem en rude kunne se omslagene på journalerne, hvoraf personnummer, navn og speciale fremgik.
• De interne retningslinjer omfattede ikke patienternes adgang med nøglekort til bygningen.
• Nøglekortene var ikke kodet, hvorfor både patienter og personale havde adgang til alle bygninger.

Der var derfor ikke etableret tilstrækkelige retningslinjer for adgangsbegrænsning til journalerne og Regionen havde ikke udført passende kontrol med sikkerhedsforanstaltningerne.

16. september: Datatilsynets afgørelse om Favrskov Kommune – indstillet til bøde på kr. 75.000

Når persondata lagres elektronisk, bør mediet være krypteret. Desuden bør applikationer, som indeholder følsomme personoplysninger logge anvendelsen. Favrskov Kommune blev indstillet til en bøde på kr. 75.000, da de i en længere periode ikke havde krypteret et elektronisk medie forsynet med fortrolige og følsomme oplysninger. Kryptering er en almindeligt anerkendt sikkerhedsforanstaltning, der sikrer persondata mod uvedkommende adgang. Under henvisning til omfanget af persondatabehandling, burde mediet være krypteret og der burde være løbende kontrol af de tekniske foranstaltninger.

17. september: Datatilsynets afgørelse om Region Syddanmark – indstilles til bøde på kr. 500.000

Din organisation skal kontrollere, at der ikke befinder sig persondata på organisationens hjemmeside. I september indstillede Datatilsynet Region Syddanmark til en bøde på kr. 500.000 for ikke tilstrækkeligt at have screenet en offentligt tilgængelig PowerPoint-præsentation for persondata. Regionen havde anvendt et screeningsværktøj til scanning af deres hjemmeside, som dog ikke kunne scanne dataene i PowerPoint-præsentationen. Regionen fik kritik for ikke at have udført kontrol af indholdet i offentliggjorte dokumenter.

29. september: Datatilsynets afgørelse om Kræftens Bekæmpelse – indstillet til bøde på kr. 800.000

Kræftens Bekæmpelse var i august 2018 udsat for et brud på persondatasikkerheden, da foreningen blev hacket i form af phishing og spoofing. Kræftens Bekæmpelse vurderede herefter, at det var nødvendigt at øge beskyttelsen gennem multifaktor-autentifikation, men dette blev aldrig implementeret. Konsekvensen blev at Kræftens Bekæmpelse ikke var i stand til at forebygge eller forhindre de efterfølgende brud på persondatasikkerheden. På baggrund af i alt fire persondatasikkerhedsbrud indstillede Datatilsynet Kræftens Bekæmpelse til en bøde på kr. 800.000, da uvedkommende fik uautoriseret adgang til personoplysninger (herunder følsomme personoplysninger) opbevaret i medarbejdernes Outlook eller lokalt på medarbejdernes computere.

3. Hvordan sikres implementering af passende sikkerhedsforanstaltninger?

Ud fra Datatilsynets afgørelser fremgår, at de dataansvarlige ikke havde implementeret passende sikkerhedsforanstaltninger, set i forhold til risikoen forbundet med de pågældende behandlinger. Mulige faldgruber for dataansvarliges persondatabehandling kan identificeres gennem en risikobaseret tilgang og løbende risikohåndtering.

Risikohåndtering omfatter løbende risikovurdering med efterfølgende mitigering af uacceptabel risiko for de registrerede. I praksis betyder dette jævne og behandlingsrelevante risikovurderinger med efterfølgende implementering af passende sikkerhedsforanstaltninger.

Best practice for risikovurdering og risikohåndtering

Eksempler på effektive sikkerhedsforanstaltninger

Enhver GDPR-jurist har indtil flere gange udtalt, at ’der skal være passende tekniske og organisatoriske sikkerhedsforanstaltninger’. Til tider på en sådan måde, at ’det jo må være enkelt og nemt’. Sådan er det ikke. Sikkerhedsforanstaltninger kan som nævnt være henholdsvis tekniske og organisatoriske, jf. GDPR art. 28, stk. 1. Dette medfører, at den dataansvarlige skal overveje hele organisationens sikkerhedsniveau ved behandling af persondata. Her er et par eksempler på effektive sikkerhedsforanstaltninger:

• Stærk kryptering af følsomme eller fortrolige persondata
• Adgangsstyring og kontrol hermed (need to know princip)
• Logning af anvendelse af systemer som indeholder fortrolige eller følsomme persondata
• Awarenesstræning for ledelse og personale i persondatabeskyttelse
• Robuste it-systemer, som tager højde for persondatabeskyttelse
• Backup procedurer og evnen til rettidigt at genoprette tabte persondata
• Business recovery plan og Disaster recovery plan.

Eksempler på effektive sikkerhedsforanstaltninger fremgår desuden af GDPR art. 32.

Kan du nikke genkendende til de ovenstående problemstillinger fra Datatilsynets afgørelser, er det en god idé at vende scenarierne i din organisations GDPR-team og/eller med din DPO.

Har du brug for hjælp til risikohåndtering, herunder udfærdigelse af risikovurderinger samt forslag til tekniske og organisatoriske foranstaltninger er du altid velkommen til at kontakte DPO Danmark med henblik på en indledende samtale.