Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering

Kromann Reumert
20/05/2020
Datatilsynet træffer afgørelse om utilstrækkelig risikovurdering
Kromann Reumert logo
I anledning af tre anmeldte sikkerhedsbrud har Datatilsynet i en ny afgørelse udtalt alvorlig kritik af en betalingsanlægsvirksomheds utilstrækkelige vurdering af de risici, der er forbundet med virksomhedens legitimationsprocedure i forbindelse med indsigtsanmodninger.



Sagens omstændigheder


Datatilsynet blev opmærksom på sagen i forbindelse med virksomhedens anmeldelse af tre særskilte brud på persondatasikkerheden. Brudene fandt sted i forbindelse med virksomhedens besvarelse af kundehenvendelser, hvor der var videregivet personoplysninger, herunder oplysninger om kundernes lokation, til uvedkommende.

Det første sikkerhedsbrud bestod i, at en kundeservicemedarbejder udleverede lokationsdata til en person, der udgav sig for at være kundens kæreste. Vedkommende havde oplyst kundens telefonnummer, hvorefter medarbejderen bekræftede oplysninger om to passager over for den, der bad om indsigt. Efterfølgende blev virksomheden kontaktet af kunden, som fortalte, at den uvedkommende var kundens ekskæreste, og at kunden ikke havde ønsket, at oplysningerne blev udleveret til ekskæresten.

Det andet sikkerhedsbrud bestod i, at en kundeservicemedarbejder begik en manuel fejl. Medarbejderen, der ellers havde opfyldt de interne verificeringskrav, kom til at opdatere kunde 1's mailadresse på en forkert kundeprofil tilhørende kunde 2. Medarbejderen kom dermed til at sende en ny adgangskode til kunde 1, der nu havde adgang til kunde 2's profil.

Det tredje sikkerhedsbrud bestod i, at en kundeservicemedarbejder opdaterede en kundes mailadresse på baggrund af et kundenummer, der ikke tilhørte den pågældende kunde. Dette resulterede endnu engang i, at førstnævnte kunde fik adgang til den anden kundes kundeprofil. I dette tilfælde blev virksomhedens interne valideringsprocedure ikke overholdt, da kundenummeret i sig selv ikke er tilstrækkeligt til at verificere en kunde.

På baggrund af de anmelde brud på persondatasikkerheden blev virksomheden blandt andet bedt om at fremsende deres risikovurdering for verificering af kunder. Af den fremsendte risikovurdering fremgik det blandt andet;

  • at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering er "meget lille"

  • at konsekvensen for kunden i tilfælde af et brud på persondatasikkerheden er, at "kundeinfo oplyses til forkert kunde/ej kunde"

  • at den forebyggende handling med henblik på forebyggelse og minimering af risici er, at "medarbejder følger instruks/proces"

  • i afsnittet under udfald af forebyggende handling/årsag til godkendt index, at "der udleveres/behandles ikke data til forkert person/kunde".



Afgørelse


På baggrund af ovenstående fandt Datatilsynet anledning til at udtale alvorlig kritik af, at virksomhedens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens krav om passende organisatoriske sikkerhedsforanstaltninger, idet der ikke var tilstrækkelige organisatoriske sikkerhedsforanstaltninger ved behandlingen personoplysninger i forbindelse betjeningen af kundehenvendelser.

Herudover fandt Datatilsynet, at der var grundlag for at meddele virksomheden et påbud om at bringe risikovurderingen for verificering af kunder i overensstemmelse med databeskyttelsesforordningens krav inden for en frist på 4 uger.

Datatilsynet understregede i den forbindelse, at risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte rettighederne.

Datatilsynet lagde særlig vægt på, at virksomhedens risikovurdering ikke indeholdt konkrete eksempler på de konsekvenser, en uautoriseret videregivelse af personoplysninger kan have af betydning for kunden.

Virksomheden kunne eksempelvis have anført;

  1. at videregivelse af kundernes personoplysninger til uvedkommende kan medføre identitetstyveri eller integritetskrænkelse

  2. at oplysninger om lokation kan have "ubehagelige konsekvenser for personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking".


Endvidere fandt Datatilsynet, at det var problematisk, at virksomheden havde vurderet sandsynligheden for, at medarbejdere behandler kundehenvendelser uden verificering som "meget lille". Datatilsynet lagde i den forbindelse særligt vægt på den manglede dokumentation for, hvordan virksomheden var nået frem til en sådan konklusion særligt under hensyn til, at netop dette var sket i hele tre tilfælde inden for en periode på 3 måneder.


Kromann Reumerts bemærkninger


Afgørelsen indeholder en præcisering af de krav, der stilles til den risikovurdering, der skal udarbejdes efter art. 32 i GDPR. Den viser, at det ved udarbejdelsen af en risikovurdering er vigtigt, at man som dataansvarlig inddrager konkrete eksempler på, hvilke konsekvenser en bestemt type sikkerhedsbrud kan få for den registrerede, f.eks. identitetstyveri, integritetskrænkelse, chikane og stalking. Herudover skal den dataansvarlige være i stand til at dokumentere, hvordan den dataansvarlige er nået frem til resultatet af sin risikovurdering, f.eks. hvorfor en risiko vurderes at være lav, mellem eller høj.

Hertil er det vigtigt, at man som virksomhed ikke alene udarbejder konkrete risikovurderinger, men ligeledes sikrer tilstrækkelig uddannelse og træning af sine medarbejdere i blandt andet behandlingssikkerhed.

Læs Datatilsynets afgørelse.
Læs Datatilsynets vejledning om risikovurderinger.

 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
09/09/2024
Persondata, Konkurrenceret
Ved du, hvornår du må behandle personoplysninger?
Ved du, hvornår du må behandle personoplysninger?
10/09/2024
Persondata
Datatilsynets årsberetning 2023
Datatilsynets årsberetning 2023
16/09/2024
Persondata
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
27/09/2024
Persondata
Borgere havde ret til indsigt i navn på utilsigtet modtager
Borgere havde ret til indsigt i navn på utilsigtet modtager
07/10/2024
Persondata
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
I går
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted