I anledning af tre anmeldte sikkerhedsbrud har Datatilsynet i en ny afgørelse udtalt alvorlig kritik af en betalingsanlægsvirksomheds utilstrækkelige vurdering af de risici, der er forbundet med virksomhedens legitimationsprocedure i forbindelse med indsigtsanmodninger.
Sagens omstændigheder
Datatilsynet blev opmærksom på sagen i forbindelse med virksomhedens anmeldelse af tre særskilte brud på persondatasikkerheden. Brudene fandt sted i forbindelse med virksomhedens besvarelse af kundehenvendelser, hvor der var videregivet personoplysninger, herunder oplysninger om kundernes lokation, til uvedkommende.
Det første sikkerhedsbrud bestod i, at en kundeservicemedarbejder udleverede lokationsdata til en person, der udgav sig for at være kundens kæreste. Vedkommende havde oplyst kundens telefonnummer, hvorefter medarbejderen bekræftede oplysninger om to passager over for den, der bad om indsigt. Efterfølgende blev virksomheden kontaktet af kunden, som fortalte, at den uvedkommende var kundens ekskæreste, og at kunden ikke havde ønsket, at oplysningerne blev udleveret til ekskæresten.
Det andet sikkerhedsbrud bestod i, at en kundeservicemedarbejder begik en manuel fejl. Medarbejderen, der ellers havde opfyldt de interne verificeringskrav, kom til at opdatere kunde 1's mailadresse på en forkert kundeprofil tilhørende kunde 2. Medarbejderen kom dermed til at sende en ny adgangskode til kunde 1, der nu havde adgang til kunde 2's profil.
Det tredje sikkerhedsbrud bestod i, at en kundeservicemedarbejder opdaterede en kundes mailadresse på baggrund af et kundenummer, der ikke tilhørte den pågældende kunde. Dette resulterede endnu engang i, at førstnævnte kunde fik adgang til den anden kundes kundeprofil. I dette tilfælde blev virksomhedens interne valideringsprocedure ikke overholdt, da kundenummeret i sig selv ikke er tilstrækkeligt til at verificere en kunde.
På baggrund af de anmelde brud på persondatasikkerheden blev virksomheden blandt andet bedt om at fremsende deres risikovurdering for verificering af kunder. Af den fremsendte risikovurdering fremgik det blandt andet;
- at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering er "meget lille"
- at konsekvensen for kunden i tilfælde af et brud på persondatasikkerheden er, at "kundeinfo oplyses til forkert kunde/ej kunde"
- at den forebyggende handling med henblik på forebyggelse og minimering af risici er, at "medarbejder følger instruks/proces"
- i afsnittet under udfald af forebyggende handling/årsag til godkendt index, at "der udleveres/behandles ikke data til forkert person/kunde".
Afgørelse
På baggrund af ovenstående fandt Datatilsynet anledning til at udtale alvorlig kritik af, at virksomhedens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens krav om passende organisatoriske sikkerhedsforanstaltninger, idet der ikke var tilstrækkelige organisatoriske sikkerhedsforanstaltninger ved behandlingen personoplysninger i forbindelse betjeningen af kundehenvendelser.
Herudover fandt Datatilsynet, at der var grundlag for at meddele virksomheden et påbud om at bringe risikovurderingen for verificering af kunder i overensstemmelse med databeskyttelsesforordningens krav inden for en frist på 4 uger.
Datatilsynet understregede i den forbindelse, at risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte rettighederne.
Datatilsynet lagde særlig vægt på, at virksomhedens risikovurdering ikke indeholdt konkrete eksempler på de konsekvenser, en uautoriseret videregivelse af personoplysninger kan have af betydning for kunden.
Virksomheden kunne eksempelvis have anført;
- at videregivelse af kundernes personoplysninger til uvedkommende kan medføre identitetstyveri eller integritetskrænkelse
- at oplysninger om lokation kan have "ubehagelige konsekvenser for personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking".
Endvidere fandt Datatilsynet, at det var problematisk, at virksomheden havde vurderet sandsynligheden for, at medarbejdere behandler kundehenvendelser uden verificering som "meget lille". Datatilsynet lagde i den forbindelse særligt vægt på den manglede dokumentation for, hvordan virksomheden var nået frem til en sådan konklusion særligt under hensyn til, at netop dette var sket i hele tre tilfælde inden for en periode på 3 måneder.
Kromann Reumerts bemærkninger
Afgørelsen indeholder en præcisering af de krav, der stilles til den risikovurdering, der skal udarbejdes efter art. 32 i GDPR. Den viser, at det ved udarbejdelsen af en risikovurdering er vigtigt, at man som dataansvarlig inddrager konkrete eksempler på, hvilke konsekvenser en bestemt type sikkerhedsbrud kan få for den registrerede, f.eks. identitetstyveri, integritetskrænkelse, chikane og stalking. Herudover skal den dataansvarlige være i stand til at dokumentere, hvordan den dataansvarlige er nået frem til resultatet af sin risikovurdering, f.eks. hvorfor en risiko vurderes at være lav, mellem eller høj.
Hertil er det vigtigt, at man som virksomhed ikke alene udarbejder konkrete risikovurderinger, men ligeledes sikrer tilstrækkelig uddannelse og træning af sine medarbejdere i blandt andet behandlingssikkerhed.
Læs Datatilsynets afgørelse.
Læs Datatilsynets vejledning om risikovurderinger.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.