Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Flere anmeldelser til Datatilsynet

NJORD Lawfirm
29/04/2019
281
Flere anmeldelser til Datatilsynet
NJORD Lawfirm logo

Med Databeskyttelsesforordningens ikrafttræden fulgte den dataansvarliges pligt til at anmelde brud på persondatasikkerheden til Datatilsynet.



Anmeldelsespligten og stigning i antallet af anmeldelser


Ifølge Databeskyttelsesforordningens art. 33 skal den dataansvarlige anmelde brud på persondatasikkerheden uden unødig forsinkelse, og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder.

Datatilsynet har offentliggjort en opgørelse over de anmeldelser om brud, som er modtaget i perioderne fra 25. maj 2018 til 31. december 2018 og fra 1. januar 2019 til 31. marts 2019.

Fra Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 frem til den 31. december 2018 har Datatilsynet modtaget 2.780 anmeldelser om brud på persondatasikkerheden og fra 1. januar 2019 til 31. marts 2019 har Datatilsynet modtaget 1.521 anmeldelser. Hvis man ser på det gennemsnitlige antal anmeldelser i de to perioder, er der sket en stigning fra ca. 400 anmeldelser pr. måned til ca. 500 anmeldelser pr. måned. Denne stigende tendens i antallet af anmeldelser hænger sammen med den fortsat stigende bevågenhed på persondataområdet efter Databeskyttelsesforordningens (og den heri indeholdte anmeldelsespligts) ikrafttræden.


Anmeldelsernes fordeling mellem den offentlige og den private sektor


I perioden lige efter Databeskyttelsesforordningens ikrafttræden var der en overvægt af anmeldelser fra dataansvarlige i den private sektor, men allerede i slutningen af 2018 havde dette ændret sig til, at der i stedet var en svag overvægt af anmeldelser fra dataansvarlige i den offentlige sektor. I perioden fra 1. januar 2019 til 31. marts 2019 fordeler anmeldelserne sig med 62% fra dataansvarlige i den offentlige sektor og 38% fra dataansvarlige i den private sektor. Desuden ses den generelle stigning i anmeldelsesantallet at være højere i den offentlige sektor end i den private sektor.


Anmeldelsernes fordeling mellem private brancher og offentlige institutioner


I den offentlige sektor er det i langt over halvdelen af tilfældene kommunerne, der foretager anmeldelser til Datatilsynet. Derudover stammer en del anmeldelser fra forskellige styrelser.

For den private sektors vedkommende er fordelingen mere jævn, men overtallet af anmeldelserne stammer i perioden fra 1. januar 2019 til 31. marts 2019 fra områderne for forsikring og pension samt banker, sparekasser og kreditforeninger.


Anmeldelsernes karakter


Over 2/3 af anmeldelserne vedrører situationer, hvor oplysninger, som følge af fejl i forbindelse med afsendelsen, er sendt til den forkerte modtager. Rigtig mange af anmeldelserne omhandler situationer, hvor persondata om én eller få borgere er sendt på en sikker måde – eksempelvis via e-boks – men til en forkert modtager.

Derudover er der situationer, hvor persondata via brevpost er sendt til modtagerens registrerede folkeregisteradresse, men hvor den registrerede enten er fraflyttet adressen med den følge, at adressens nye beboer modtager brevet, eller hvor postvæsnet fejlagtigt afleverer brevet på en forkert adresse.

En del af anmeldelserne vedrører situationer, hvor persondata ved en fejl ikke er undergivet den fortrolighed, som den dataansvarlige ellers har vurderet, er nødvendig for retmæssig behandling – eksempelvis hvor mails, i strid med den dataansvarliges vurdering og instruks, ikke sendes i krypteret form.

Hacking og lignende uretmæssige indgreb i systemerne fra udenforstående spiller en mindre rolle, end mange muligvis forestiller sig, og udgør alene mindre end 5% af det samlede antal anmeldelser.

Herudover fylder de tilfælde, hvor dokumenter eller fysiske enheder indeholdende persondata bliver stjålet fra aflåste opbevaringssteder eller mistet i det offentlige rum, også i anmeldelserne.

Formentlig på baggrund af de sidstnævnte tilfælde udtaler Datatilsynet i opgørelserne, at fysiske enheder – såsom telefoner, tablets, laptops, usb-sticks og transportable harddiske – som udgangspunkt slet ikke skal indeholde persondata. Hvis sådanne enheder alligevel indeholder persondata, så skal det ske under anvendelse af krypteringsmetoder som sikrer, at ingen uvedkommende kan læse de indeholdte persondata i tilfælde af, at enheden mistes.

Naturligvis skal der ske kryptering i nødvendigt omfang, men et udgangspunkt om, at de nævnte enheder slet ikke må indeholde persondata, risikerer måske at begrænse den frie udveksling af persondata, som omtalt i Databeskyttelsesforordningens art. 1, stk. 3.

Datatilsynet opfordrer herudover til, at virksomheder, der behandler persondata, har fokus på mere grundlæggende organisatoriske tiltag, der kan være med til at mindske risikoen – især hvor der eksempelvis anvendes automatisk udfyldelse af e-mailadresser, eller hvor breve sendes ud til mange modtagere ved hjælp af flettelister. Ved anvendelse af sådanne metoder er risikoen for fejl stor, og der ses fortsat mange anmeldelser om brud på dette område.


Datatilsynets behandling af anmeldelserne


I opgørelserne anfører Datatilsynet, at brud på persondatasikkerheden, som medfører risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder, som udgangspunkt mindst skal resultere i kritik fra Datatilsynet.

Hvor der derimod er tale om enkeltstående situationer, hvor der kun er ringe risiko for de nævnte rettigheder, og hvor de foranstaltninger, som den dataansvarlige har iværksat for at undgå gentagelse, anses som værende tilstrækkelige, vil Datatilsynet ikke finde anledning til at udtale kritik. Her vil hændelsen dog kunne indgå i Datatilsynets overvejelser i tilfælde af senere indkomne anmeldelser om brud hos samme virksomhed. Desuden vil sagen naturligvis kunne genoptages, hvis der senere fremkommer nye oplysninger af betydning.

Datatilsynet regner med, at ca. halvdelen af de modtagne anmeldelser afsluttes uden udtalelse af kritik.


Hvad spørger tilsynet om?


Datatilsynet har offentliggjort en liste over de temaer, som tilsynet har valgt især at fokusere på i forbindelse med de planlagte tilsyn i første halvår af 2019.

De offentliggjorte fokusområder er følgende:

  • Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder

  • Databeskyttelsesrådgiverfunktionen hos kommunerne

  • Kryptering af e-mails hos private virksomheder

  • Autorisation af medarbejdere hos kommunerne

  • Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder

  • Brug (og genbrug) af data i den kommunale forvaltning

  • Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder


Sammenlignet med de områder, som Datatilsynet havde fokus på i sidste halvår af 2018, tyder det på, at i hvert fald databeskyttelsesrådgiverfunktionen og den registreredes rettigheder (herunder indsigtsret) er områder, som der generelt vil være fokus på – også i fremtiden. Desuden er spørgsmålet om, hvorvidt der foreligger hjemmel for behandlingen særligt relevant, og må således tillige forventes at være i fokus i fremtiden.

Uanset hvilke områder, der indtil videre har været fokus på, er det vigtigt, at man som virksomhed, der behandler persondata, generelt handler i overensstemmelse med Databeskyttelsesforordningen, idet brud på persondatasikkerheden kan ske inden for alle områder, ligesom det skal erindres, at Datatilsynet kan komme på tilsyn i andre sammenhænge også – eksempelvis i forbindelse med en klage, hvorefter de vil undersøge disse forhold nærmere, i stedet for dem, der er offentliggjort i forbindelse med et sikkerhedsbrud.

 



 
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
NJORD Lawfirm logo
København
Pilestræde 58
1112 København K
33 12 45 22
33 93 60 23
copenhagen@njordlaw.com
Aarhus
Åboulevarden 17
8000 Aarhus C
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 30.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
I går
Persondata, Ansættelses- og arbejdsret
Nu bliver det nemmere at optage telefonsamtaler
Nu bliver det nemmere at optage telefonsamtaler
01/12/2020
Persondata
Internationale overførsler - Nye Standard Contractual Clauses i høring
Internationale overførsler - Nye Standard Contractual Clauses i høring
17/11/2020
Persondata
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
13/11/2020
Persondata
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
11/11/2020
Persondata
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
04/11/2020
Persondata, Ansættelses- og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted