Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

WTC advokaterne
11/10/2021
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
WTC advokaterne logo
Som dataansvarlig er du forpligtet til at foretage en konkret vurdering af de risici, som er forbundet med virksomhedens behandling af personoplysninger og på den baggrund udvælge hvilke sikkerhedsforanstaltninger, som skal implementeres. Men hvornår har virksomheden etableret tilstrækkelige sikkerhedsforanstaltninger i forhold til at begrænse de identificerede risici?

På baggrund af to nye afgørelser fra Datatilsynet vil vi give nogle generelle råd om etablering af sikkerhedsforanstaltninger i henhold til GDPR. Begge sager omhandler offentlige myndigheder, og hertil skal det bemærkes, at offentlige bødeniveauer ofte vil være lavere, end hvis der var tale om private virksomheder.


Utilstrækkelig sikkerhed på hjemmeside

Datatilsynet har indstillet Region Syddanmark til en bøde på kr. 500.000 for utilstrækkelig kontrol med offentliggjorte dokumenter på deres hjemmeside.


Konkret drejede det sig om en PowerPoint-præsentation med et diagram, som indeholdte oplysninger om CPR-numre og helbredsoplysninger på 3.915 patienter. Præsentationen var offentlig tilgængelig på regionens hjemmeside.


Region Syddanmark havde etableret en sikkerhedsforanstaltning, nemlig et screeningsværktøj, der jævnligt scannede deres hjemmeside for utilsigtede offentliggjorte personnumre. Men screeningsværktøjet kunne tilsyneladende ikke scanne de bagvedliggende data i en PowerPoint-præsentation, og derfor havde oplysningerne ligget frit tilgængelige på regionens hjemmeside siden 2011.


Datatilsynet fandt derfor, at Region Syddanmark ikke havde etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen burde have kontrolleret, om screeningsværktøjet var i stand til at scanne alle former for dokumenter.


Læs hele afgørelsen her: Region Syddanmark indstillet til bøde.


Utilstrækkelig sikkerhed ved opbevaring af fysiske journaler

Datatilsynet har ligeledes indstillet Region Midtjylland til en bøde på kr. 400.000 for ikke at etablere passende sikkerhed omkring fysiske patientjournaler.


Sagen drejede sig om ca. 100.000 journaler, som var arkiveret i et livstilscenter, og som blandt andet indeholdte oplysninger om CPR-numre og helbredsoplysninger. Problemet var, at alle medarbejdere og patienter i centreret var blevet tildelt nøglekort, som gav dem adgang til journalarkivet, også selvom de ikke havde behov for det.


Regionens sikkerhedsforanstaltning var, at de havde lavet retningslinjer vedrørende adgangsbegrænsning med nøglekort. Disse retningslinjer omhandlede dog kun ikke-fastansatte, dvs. der var hverken retningslinjer for nøglekort til fastansatte eller patienter.


Datatilsynet fandt derfor, at regionen ikke havde etableret tilstrækkelige retningslinjer for adgangsbegrænsning ved fremstilling af nøglekort. Ifølge Datatilsynet skulle der have været klare retningslinjer for kodning og brug af adgangskort i livstilscentreret, samt regelmæssige tests af om adgangsstyringen virkede.


Det var desuden muligt at se omslag på nogle journaler ude fra gadeplan gennem et vindue. Her kunne forbipasserende se navne og CPR-numre på nogle af patienterne. Vinduerne til bygningen kunne have været matteret for at undgå dette.


Læs hele sagen her: Region Midtjylland indstillet til bøde.


Generelle råd om sikkerhedsforanstaltninger

Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med virksomhedens behandling af personoplysninger samt at vurdere, hvilke sikkerhedsforanstaltninger, der kan begrænse risiciene. Det er på baggrund af disse overvejelser, samt de sikkerhedsforanstaltninger som virksomheden vælger at etablere, at Datatilsynet foretager en konkret vurdering af, om sikkerhedsforanstaltningerne er tilstrækkelige.


På baggrund af de to sager kan vi identificere nogle af de forhold, som Datatilsynet lægger vægt på, når de skal vurdere om en sikkerhedsforanstaltning er tilstrækkelig.


Datatilsynet lægger blandt andet vægt på:


  • Mængden af personoplysninger, og hvor følsomme de er
  • Om virksomheden tidligere har haft udfordringer med adgangsstyring og adgangsbegrænsning til behandling af personoplysninger
  • Om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger

Når man arbejder med GDPR og IT-sikkerhed, bør man desuden altid:


  1. Lave en risikovurdering af de tekniske og organisatoriske sikkerhedsforanstaltninger
  2. Sørge for at de svagheder, som I finder i risikovurderingen, udbedres
  3. Oprette kontrolforanstaltninger for at sikre, at risici forbliver lave
  4. Gennemgå digitale og fysiske kontrolforanstaltninger med fast interval
  5. Beskytte eventuelle opbevarede personoplysninger (fysiske eller digitale) med adgangsbegrænsning – nøglekort, passwords, lås mv.
  6. Lave klare retningslinjer for kodning og brug af eventuelle adgangskort, og kontrollere at de overholdes
  7. Overveje, om det er muligt at indhente mindre data eller slette det, der ikke længere er relevant
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted