Datatilsynet har for nylig udtalt, at det var meget beklageligt, at personoplysninger fra op imod 95.000 jobansøgere hos en dataansvarlig lå offentligt tilgængeligt, på trods af, at fejlen var begået af en IT-leverandør.
Sagen kort
I en periode på ca. 3 uger i januar måned i år lå personlige oplysninger om ca. 95.000 potentielle jobansøgere frit tilgængeligt på en virksomheds hjemmeside. Oplysningerne lå på en testside, der ikke burde have været tilgængelig for offentligheden, men som ved en fejl var blevet lagt i produktionsmiljøet. Fejlen lå hos den eksterne IT-leverandør, der drev hjemmesiden.
Umiddelbart efter at være blevet gjort opmærksom på fejlen fik virksomheden taget siden ned og tog samtidig initiativ til, at alle links og søgemaskineresultater blev fjernet. Også de berørte registrerede blev kontaktet.
Kan man sikre sig som kunde?
Er skaden sket og personoplysninger blevet offentliggjort, så er man som dataansvarlig ansvarlig for lækket over for de berørte personer. Det er derfor afgørende, at man i sin kontrakt med leverandøren gør hvad man kan for at adressere situationen og sikrer, at man har mulighed for at følge op over for den leverandør, der viser sig ikke at leve op til kravene. Nedenfor følger tre gode råd til, hvordan man som kunde begrænser skaden.
- For det første skal man være opmærksom på, at risikoen for læk af persondata er til stede. Der bør indføres klare procedurer for enhver håndtering af persondata og en utvetydig ansvarsfordeling mellem kunde og leverandør. Man bør som kunde også sørge for, at man faktisk følger op på kontraktens krav, herunder ved at udnytte eventuelle auditmuligheder, gennemgår revisionserklæringer etc.
- For det andet skal man som kunde have de rette nødprocedurer på plads, såfremt lækket sker, og være klar til at implementere disse med kort varsel. Datatilsynet synes at lægge positivt vægt på, at virksomheden i dette tilfælde reagerede prompte og iværksatte en række foranstaltninger for at undgå yderligere læk af persondata, så snart problemet blev opdaget.
- For det tredje bør man som kunde sikre sig, at man har tilstrækkelige beføjelser over for den leverandør, der viser sig ikke at leve op til kravene. Dette kan blandt andet være bods- og erstatningsbestemmelser samt i yderste konsekvens mulighed for at ophæve aftalen.
Læs datatilsynets udtalelse
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →