Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering

Kromann Reumert
20/05/2020
915
Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering
Kromann Reumert logo
I anledning af tre anmeldte sikkerhedsbrud har Datatilsynet i en ny afgørelse udtalt alvorlig kritik af en betalingsanlægsvirksomheds utilstrækkelige vurdering af de risici, der er forbundet med virksomhedens legitimationsprocedure i forbindelse med indsigtsanmodninger.



Sagens omstændigheder


Datatilsynet blev opmærksom på sagen i forbindelse med virksomhedens anmeldelse af tre særskilte brud på persondatasikkerheden. Brudene fandt sted i forbindelse med virksomhedens besvarelse af kundehenvendelser, hvor der var videregivet personoplysninger, herunder oplysninger om kundernes lokation, til uvedkommende.

Det første sikkerhedsbrud bestod i, at en kundeservicemedarbejder udleverede lokationsdata til en person, der udgav sig for at være kundens kæreste. Vedkommende havde oplyst kundens telefonnummer, hvorefter medarbejderen bekræftede oplysninger om to passager over for den, der bad om indsigt. Efterfølgende blev virksomheden kontaktet af kunden, som fortalte, at den uvedkommende var kundens ekskæreste, og at kunden ikke havde ønsket, at oplysningerne blev udleveret til ekskæresten.

Det andet sikkerhedsbrud bestod i, at en kundeservicemedarbejder begik en manuel fejl. Medarbejderen, der ellers havde opfyldt de interne verificeringskrav, kom til at opdatere kunde 1's mailadresse på en forkert kundeprofil tilhørende kunde 2. Medarbejderen kom dermed til at sende en ny adgangskode til kunde 1, der nu havde adgang til kunde 2's profil.

Det tredje sikkerhedsbrud bestod i, at en kundeservicemedarbejder opdaterede en kundes mailadresse på baggrund af et kundenummer, der ikke tilhørte den pågældende kunde. Dette resulterede endnu engang i, at førstnævnte kunde fik adgang til den anden kundes kundeprofil. I dette tilfælde blev virksomhedens interne valideringsprocedure ikke overholdt, da kundenummeret i sig selv ikke er tilstrækkeligt til at verificere en kunde.

På baggrund af de anmelde brud på persondatasikkerheden blev virksomheden blandt andet bedt om at fremsende deres risikovurdering for verificering af kunder. Af den fremsendte risikovurdering fremgik det blandt andet;

  • at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering er "meget lille"

  • at konsekvensen for kunden i tilfælde af et brud på persondatasikkerheden er, at "kundeinfo oplyses til forkert kunde/ej kunde"

  • at den forebyggende handling med henblik på forebyggelse og minimering af risici er, at "medarbejder følger instruks/proces"

  • i afsnittet under udfald af forebyggende handling/årsag til godkendt index, at "der udleveres/behandles ikke data til forkert person/kunde".



Afgørelse


På baggrund af ovenstående fandt Datatilsynet anledning til at udtale alvorlig kritik af, at virksomhedens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens krav om passende organisatoriske sikkerhedsforanstaltninger, idet der ikke var tilstrækkelige organisatoriske sikkerhedsforanstaltninger ved behandlingen personoplysninger i forbindelse betjeningen af kundehenvendelser.

Herudover fandt Datatilsynet, at der var grundlag for at meddele virksomheden et påbud om at bringe risikovurderingen for verificering af kunder i overensstemmelse med databeskyttelsesforordningens krav inden for en frist på 4 uger.

Datatilsynet understregede i den forbindelse, at risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte rettighederne.

Datatilsynet lagde særlig vægt på, at virksomhedens risikovurdering ikke indeholdt konkrete eksempler på de konsekvenser, en uautoriseret videregivelse af personoplysninger kan have af betydning for kunden.

Virksomheden kunne eksempelvis have anført;

  1. at videregivelse af kundernes personoplysninger til uvedkommende kan medføre identitetstyveri eller integritetskrænkelse

  2. at oplysninger om lokation kan have "ubehagelige konsekvenser for personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking".


Endvidere fandt Datatilsynet, at det var problematisk, at virksomheden havde vurderet sandsynligheden for, at medarbejdere behandler kundehenvendelser uden verificering som "meget lille". Datatilsynet lagde i den forbindelse særligt vægt på den manglede dokumentation for, hvordan virksomheden var nået frem til en sådan konklusion særligt under hensyn til, at netop dette var sket i hele tre tilfælde inden for en periode på 3 måneder.


Kromann Reumerts bemærkninger


Afgørelsen indeholder en præcisering af de krav, der stilles til den risikovurdering, der skal udarbejdes efter art. 32 i GDPR. Den viser, at det ved udarbejdelsen af en risikovurdering er vigtigt, at man som dataansvarlig inddrager konkrete eksempler på, hvilke konsekvenser en bestemt type sikkerhedsbrud kan få for den registrerede, f.eks. identitetstyveri, integritetskrænkelse, chikane og stalking. Herudover skal den dataansvarlige være i stand til at dokumentere, hvordan den dataansvarlige er nået frem til resultatet af sin risikovurdering, f.eks. hvorfor en risiko vurderes at være lav, mellem eller høj.

Hertil er det vigtigt, at man som virksomhed ikke alene udarbejder konkrete risikovurderinger, men ligeledes sikrer tilstrækkelig uddannelse og træning af sine medarbejdere i blandt andet behandlingssikkerhed.

Læs Datatilsynets afgørelse.
Læs Datatilsynets vejledning om risikovurderinger.

 
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 31.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Internationale overførsler - Nye Standard Contractual Clauses i høring
Internationale overførsler - Nye Standard Contractual Clauses i høring
17/11/2020
Persondata
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
13/11/2020
Persondata
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
11/11/2020
Persondata
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
04/11/2020
Persondata, Ansættelses- og arbejdsret
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
30/10/2020
Persondata, Ansættelses- og arbejdsret
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
Datatilsynet har offentliggjort en opdateret og strengere vejledning om fortegnelseskravet i Databeskyttelsesforordningens artikel 30
29/09/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted