Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering

Kromann Reumert
20/05/2020
Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering
Kromann Reumert logo
I anledning af tre anmeldte sikkerhedsbrud har Datatilsynet i en ny afgørelse udtalt alvorlig kritik af en betalingsanlægsvirksomheds utilstrækkelige vurdering af de risici, der er forbundet med virksomhedens legitimationsprocedure i forbindelse med indsigtsanmodninger.



Sagens omstændigheder


Datatilsynet blev opmærksom på sagen i forbindelse med virksomhedens anmeldelse af tre særskilte brud på persondatasikkerheden. Brudene fandt sted i forbindelse med virksomhedens besvarelse af kundehenvendelser, hvor der var videregivet personoplysninger, herunder oplysninger om kundernes lokation, til uvedkommende.

Det første sikkerhedsbrud bestod i, at en kundeservicemedarbejder udleverede lokationsdata til en person, der udgav sig for at være kundens kæreste. Vedkommende havde oplyst kundens telefonnummer, hvorefter medarbejderen bekræftede oplysninger om to passager over for den, der bad om indsigt. Efterfølgende blev virksomheden kontaktet af kunden, som fortalte, at den uvedkommende var kundens ekskæreste, og at kunden ikke havde ønsket, at oplysningerne blev udleveret til ekskæresten.

Det andet sikkerhedsbrud bestod i, at en kundeservicemedarbejder begik en manuel fejl. Medarbejderen, der ellers havde opfyldt de interne verificeringskrav, kom til at opdatere kunde 1's mailadresse på en forkert kundeprofil tilhørende kunde 2. Medarbejderen kom dermed til at sende en ny adgangskode til kunde 1, der nu havde adgang til kunde 2's profil.

Det tredje sikkerhedsbrud bestod i, at en kundeservicemedarbejder opdaterede en kundes mailadresse på baggrund af et kundenummer, der ikke tilhørte den pågældende kunde. Dette resulterede endnu engang i, at førstnævnte kunde fik adgang til den anden kundes kundeprofil. I dette tilfælde blev virksomhedens interne valideringsprocedure ikke overholdt, da kundenummeret i sig selv ikke er tilstrækkeligt til at verificere en kunde.

På baggrund af de anmelde brud på persondatasikkerheden blev virksomheden blandt andet bedt om at fremsende deres risikovurdering for verificering af kunder. Af den fremsendte risikovurdering fremgik det blandt andet;

  • at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering er "meget lille"

  • at konsekvensen for kunden i tilfælde af et brud på persondatasikkerheden er, at "kundeinfo oplyses til forkert kunde/ej kunde"

  • at den forebyggende handling med henblik på forebyggelse og minimering af risici er, at "medarbejder følger instruks/proces"

  • i afsnittet under udfald af forebyggende handling/årsag til godkendt index, at "der udleveres/behandles ikke data til forkert person/kunde".



Afgørelse


På baggrund af ovenstående fandt Datatilsynet anledning til at udtale alvorlig kritik af, at virksomhedens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens krav om passende organisatoriske sikkerhedsforanstaltninger, idet der ikke var tilstrækkelige organisatoriske sikkerhedsforanstaltninger ved behandlingen personoplysninger i forbindelse betjeningen af kundehenvendelser.

Herudover fandt Datatilsynet, at der var grundlag for at meddele virksomheden et påbud om at bringe risikovurderingen for verificering af kunder i overensstemmelse med databeskyttelsesforordningens krav inden for en frist på 4 uger.

Datatilsynet understregede i den forbindelse, at risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte rettighederne.

Datatilsynet lagde særlig vægt på, at virksomhedens risikovurdering ikke indeholdt konkrete eksempler på de konsekvenser, en uautoriseret videregivelse af personoplysninger kan have af betydning for kunden.

Virksomheden kunne eksempelvis have anført;

  1. at videregivelse af kundernes personoplysninger til uvedkommende kan medføre identitetstyveri eller integritetskrænkelse

  2. at oplysninger om lokation kan have "ubehagelige konsekvenser for personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking".


Endvidere fandt Datatilsynet, at det var problematisk, at virksomheden havde vurderet sandsynligheden for, at medarbejdere behandler kundehenvendelser uden verificering som "meget lille". Datatilsynet lagde i den forbindelse særligt vægt på den manglede dokumentation for, hvordan virksomheden var nået frem til en sådan konklusion særligt under hensyn til, at netop dette var sket i hele tre tilfælde inden for en periode på 3 måneder.


Kromann Reumerts bemærkninger


Afgørelsen indeholder en præcisering af de krav, der stilles til den risikovurdering, der skal udarbejdes efter art. 32 i GDPR. Den viser, at det ved udarbejdelsen af en risikovurdering er vigtigt, at man som dataansvarlig inddrager konkrete eksempler på, hvilke konsekvenser en bestemt type sikkerhedsbrud kan få for den registrerede, f.eks. identitetstyveri, integritetskrænkelse, chikane og stalking. Herudover skal den dataansvarlige være i stand til at dokumentere, hvordan den dataansvarlige er nået frem til resultatet af sin risikovurdering, f.eks. hvorfor en risiko vurderes at være lav, mellem eller høj.

Hertil er det vigtigt, at man som virksomhed ikke alene udarbejder konkrete risikovurderinger, men ligeledes sikrer tilstrækkelig uddannelse og træning af sine medarbejdere i blandt andet behandlingssikkerhed.

Læs Datatilsynets afgørelse.
Læs Datatilsynets vejledning om risikovurderinger.

 
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Markedsføringssamtykke - det skal du være opmærksom på
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
14/06/2021
Persondata
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
09/06/2021
Persondata
Det norske datatilsyn varsler bøde på 25 millioner NOK
Det norske datatilsyn varsler bøde på 25 millioner NOK
26/05/2021
Persondata
Nye EU-regler om kunstig intelligens
Nye EU-regler om kunstig intelligens
26/05/2021
IT- og telekommunikation, Persondata, Øvrige
Datatilsynet opdaterer vejledning om samtykke
Datatilsynet opdaterer vejledning om samtykke
26/05/2021
Persondata
Principiel byretsdom: Persondata­krænkelser kan udløse erstatning for ikke-økonomisk skade
Principiel byretsdom: Persondata­krænkelser kan udløse erstatning for ikke-økonomisk skade
18/05/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted