Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag
IUNO logo
Danmarks største forlag gemte hundredtusindvis af medlemmers oplysninger i en passiv database i over et årti efter de havde udmeldt sig. Virksomheden havde hverken procedurer eller retningslinjer på plads for sletning i databasen. Det var en så grundlæggende overtrædelse af databeskyttelsesreglerne, at Datatilsynet politianmeldte virksomheden og indstillede til en bøde på 1 million kr.

På et universitet fungerede det interne HR-system blandt andet sådan, at ansatte fik tildelt en ”rolle” for at få adgang til jobansøgninger. Hvilken rolle der blev tildelt og til hvem afhang af den enkelte ansættelsesproces.


I forbindelse med en opdatering af HR-systemet, blev rettighedsstyringen dog nulstillet ved en fejl. Den tidligere styring via rollefordelingen forsvandt i den forbindelse. Konsekvensen var, at 7011 ansatte på universitetet i princippet kunne se de ansøgninger, der før krævede adgang via en særlig rolle. Fordi der ikke blev ført log i systemet, var det ikke muligt at kontrollere om ansøgningerne var blevet tilgået eller ej.


Universitetet havde ikke testet opdateringen først, fordi der ikke var noget der pegede på, at der ville ske ændring i rettighedsstyringen. Leverandøren af softwaren, der også var ansvarlig for implementeringen af den, havde ikke givet nogen form for besked herom. Derfor var der ikke blevet udført en 14 dages test, som ellers ville have været den normale praksis.


Ingen udvej at bebrejde software-leverandøren

Hændelsen var et brud på databeskyttelsessikkerheden, i strid med databeskyttelsesreglerne. Universitetet havde tilsidesat sin pligt til at sikre et tilstrækkeligt sikkerhedsniveau.


Universitetet skulle have identificeret den risiko, som udviklingen og tilpasningen af IT-løsningen indebar.


Eksempelvis skulle løsningen have været testet først, for at tjekke om den indeholdt problemer, der kunne medføre eksempelvis tab, ændring, uautoriseret videregivelse eller adgang til personoplysningerne i systemet. Det var universitetets ansvar selv at undersøge de potentielle konsekvenser ved opdateringen, uanset hvilke oplysninger software-leverandøren havde givet på forhånd.


Universitetet skulle også have foretaget en vurdering af den behandling som ændringerne kunne medføre. Eksempelvis skulle universitetet have overvejet risikoen for nulstilling eller ændring af rettighedsstyringen, uanset at den risiko ikke fremgik af opdateringen på forhånd.


Den manglende forhåndstest af opdateringen udløste alvorlig kritik fra Datatilsynet. Datatilsynet understregede, at det vejede tungt, at der ikke blev ført logs på se-adgang, at der var tale om et stort antal ansatte og et omfattende ansøgningsmateriale, der både indeholdt personnumre og helbredsoplysninger. Databruddet var her særlig slemt for de interne ansøgere.


IUNO mener

Det er ikke første gang Datatilsynet understreger, at rollen som dataansvarlig indebærer, at virksomheder har det fulde ansvar for sikkerhedsniveauet og at det blandt andet omfatter, at alle systemopdateringer mv. er helt sikre, og at alle potentielle risici er analyseret, før opdateringen implementeres.


IUNO anbefaler, at virksomheder har faste retningslinjer på plads, der blandt andet fastsætter sikre og omfattende procedurer for test af opdateringer, inden de indføres. Retningslinjerne bør etablere en proces hvorefter alle sandsynlige fejlscenarier testes i forbindelse med udvikling, opdatering og anden ændring af software, hvor der behandles personoplysninger, før et tilstrækkeligt sikkerhedsniveau er på plads.


[Datatilsynets afgørelse af den 12. maj 2022 i sag nr. 2021-442-13989]

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
Artikler, der kunne være relevante for dig
At ophæve på egen bekostning
At ophæve på egen bekostning
04/04/2024
Ansættelses- og arbejdsret
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
Ekstra orlov til tvillingeforældre og lempeligere regler for udenlandsk arbejdskraft
Ekstra orlov til tvillingeforældre og lempeligere regler for udenlandsk arbejdskraft
12/04/2024
Ansættelses- og arbejdsret
Flere ansatte indberetter om virksomhedens interne forhold til Den Nationale Whistleblowerordning
Flere ansatte indberetter om virksomhedens interne forhold til Den Nationale Whistleblowerordning
11/04/2024
Compliance, Ansættelses- og arbejdsret
PTSD-ramt politibetjent fik ret i Højesteret
PTSD-ramt politibetjent fik ret i Højesteret
16/04/2024
Ansættelses- og arbejdsret
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted