Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

Sagen handlede om et brud på datasikkerheden, der skete hos Skattestyrelsen som følge af en menneskelig fejl, da et brev om skattegodkendelse blev sendt til den forkerte modtager. Brevet indeholdt både identifikationsoplysninger, oplysninger af økonomisk karakter samt CPR-nummer.

Skattestyrelsen blev først opmærksom på sikkerhedsbruddet efter et par måneder, da modtageren rettede henvendelse og fejlen blev undersøgt. I overensstemmelse med reglerne, anmeldte Skattestyrelsen herefter forholdet til Datatilsynet. Det fremgik blandt andet af anmeldelsen, at den berørte registrerede var blevet underrettet om sikkerhedsbruddet.

Efter sommerferien tog Skattestyrelsen dog kontakt til Datatilsynet igen med oplysning om, at den berørte registrerede alligevel ikke var blevet underrettet, som oprindeligt oplyst. Underretning var dog sket efter ferien, efter fejlen blev opdaget. Skattestyrelsen henviste til, at ekstraordinære forhold i ferieperioden var skyld i fejlen. Datatilsynet tog herefter sagen op.

”Ekstraordinære forhold i ferieperioden” kunne ikke begrunde fejlen

Datatilsynet fandt herefter, at der var grundlag for at udtale alvorlig kritik af Skattestyrelsens databehandling. Underretning til den berørte registrerede skete først omkring 40 dage efter Datatilsynet modtog anmeldelsen. Skattestyrelsens henvisning til, at ekstraordinære forhold i ferieperioden var skyld i fejlen, havde ingen betydning for Datatilsynets vurdering.

Tværtimod var sagen kun blevet mere alvorlig som følge af, at Skattestyrelsen fejlagtigt havde oplyst Datatilsynet om, at underretning var sket, samt at der var gået flere måneder før Skattestyrelsen selv blev opmærksom på sikkerhedsbruddet.

IUNO mener

Sagen viser tydeligt, hvor vigtigt det er at virksomheder har klare og passende procedurer, retningslinjer og beredskabsplaner på plads, der gør det muligt at foretage de nødvendige anmeldelser og underretninger, uanset om medarbejdere holder ferie.

IUNO anbefaler, at virksomheder løbende gennemgår de etablerede procedurer, og sørger for passende oplæring, så både nye og eksisterende medarbejdere ved, hvordan et brud på datasikkerheden skal gribes an inden for de forskellige deadlines.

[Datatilsynets afgørelse af den 22. september 2021]