Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Bliv forfatter Bliv kursusudbyder Bliv verificeret specialist Bliv jobannoncør
Artikel

GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

WTC advokaterne
11/10/2021
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
WTC advokaterne logo
Som dataansvarlig er du forpligtet til at foretage en konkret vurdering af de risici, som er forbundet med virksomhedens behandling af personoplysninger og på den baggrund udvælge hvilke sikkerhedsforanstaltninger, som skal implementeres. Men hvornår har virksomheden etableret tilstrækkelige sikkerhedsforanstaltninger i forhold til at begrænse de identificerede risici?

På baggrund af to nye afgørelser fra Datatilsynet vil vi give nogle generelle råd om etablering af sikkerhedsforanstaltninger i henhold til GDPR. Begge sager omhandler offentlige myndigheder, og hertil skal det bemærkes, at offentlige bødeniveauer ofte vil være lavere, end hvis der var tale om private virksomheder.


Utilstrækkelig sikkerhed på hjemmeside

Datatilsynet har indstillet Region Syddanmark til en bøde på kr. 500.000 for utilstrækkelig kontrol med offentliggjorte dokumenter på deres hjemmeside.


Konkret drejede det sig om en PowerPoint-præsentation med et diagram, som indeholdte oplysninger om CPR-numre og helbredsoplysninger på 3.915 patienter. Præsentationen var offentlig tilgængelig på regionens hjemmeside.


Region Syddanmark havde etableret en sikkerhedsforanstaltning, nemlig et screeningsværktøj, der jævnligt scannede deres hjemmeside for utilsigtede offentliggjorte personnumre. Men screeningsværktøjet kunne tilsyneladende ikke scanne de bagvedliggende data i en PowerPoint-præsentation, og derfor havde oplysningerne ligget frit tilgængelige på regionens hjemmeside siden 2011.


Datatilsynet fandt derfor, at Region Syddanmark ikke havde etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen burde have kontrolleret, om screeningsværktøjet var i stand til at scanne alle former for dokumenter.


Læs hele afgørelsen her: Region Syddanmark indstillet til bøde.


Utilstrækkelig sikkerhed ved opbevaring af fysiske journaler

Datatilsynet har ligeledes indstillet Region Midtjylland til en bøde på kr. 400.000 for ikke at etablere passende sikkerhed omkring fysiske patientjournaler.


Sagen drejede sig om ca. 100.000 journaler, som var arkiveret i et livstilscenter, og som blandt andet indeholdte oplysninger om CPR-numre og helbredsoplysninger. Problemet var, at alle medarbejdere og patienter i centreret var blevet tildelt nøglekort, som gav dem adgang til journalarkivet, også selvom de ikke havde behov for det.


Regionens sikkerhedsforanstaltning var, at de havde lavet retningslinjer vedrørende adgangsbegrænsning med nøglekort. Disse retningslinjer omhandlede dog kun ikke-fastansatte, dvs. der var hverken retningslinjer for nøglekort til fastansatte eller patienter.


Datatilsynet fandt derfor, at regionen ikke havde etableret tilstrækkelige retningslinjer for adgangsbegrænsning ved fremstilling af nøglekort. Ifølge Datatilsynet skulle der have været klare retningslinjer for kodning og brug af adgangskort i livstilscentreret, samt regelmæssige tests af om adgangsstyringen virkede.


Det var desuden muligt at se omslag på nogle journaler ude fra gadeplan gennem et vindue. Her kunne forbipasserende se navne og CPR-numre på nogle af patienterne. Vinduerne til bygningen kunne have været matteret for at undgå dette.


Læs hele sagen her: Region Midtjylland indstillet til bøde.


Generelle råd om sikkerhedsforanstaltninger

Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med virksomhedens behandling af personoplysninger samt at vurdere, hvilke sikkerhedsforanstaltninger, der kan begrænse risiciene. Det er på baggrund af disse overvejelser, samt de sikkerhedsforanstaltninger som virksomheden vælger at etablere, at Datatilsynet foretager en konkret vurdering af, om sikkerhedsforanstaltningerne er tilstrækkelige.


På baggrund af de to sager kan vi identificere nogle af de forhold, som Datatilsynet lægger vægt på, når de skal vurdere om en sikkerhedsforanstaltning er tilstrækkelig.


Datatilsynet lægger blandt andet vægt på:


  • Mængden af personoplysninger, og hvor følsomme de er
  • Om virksomheden tidligere har haft udfordringer med adgangsstyring og adgangsbegrænsning til behandling af personoplysninger
  • Om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger

Når man arbejder med GDPR og IT-sikkerhed, bør man desuden altid:


  1. Lave en risikovurdering af de tekniske og organisatoriske sikkerhedsforanstaltninger
  2. Sørge for at de svagheder, som I finder i risikovurderingen, udbedres
  3. Oprette kontrolforanstaltninger for at sikre, at risici forbliver lave
  4. Gennemgå digitale og fysiske kontrolforanstaltninger med fast interval
  5. Beskytte eventuelle opbevarede personoplysninger (fysiske eller digitale) med adgangsbegrænsning – nøglekort, passwords, lås mv.
  6. Lave klare retningslinjer for kodning og brug af eventuelle adgangskort, og kontrollere at de overholdes
  7. Overveje, om det er muligt at indhente mindre data eller slette det, der ikke længere er relevant
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
WTC advokaterne logo
Hillerød
Slotsgade 36B, 1.
3400 Hillerød
(+45) 48 22 00 40
(+45) 48 22 00 41
wtc@wtc.dk
Helsingør
Stengade 37
3000 Helsingør
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Databeskyttelsesjurist - hvor dit arbejde betyder noget for borgernes ret til privatliv
Erfaren personalejuridisk konsulent til Odder Kommune
Jurister til sikring af forbrugernes interesser på fjernvarmeområdet
Udbudsjurist til Klima, Energi- og Forsyningsministeriets koncernindkøbsfunktion
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted