Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag
IUNO logo
Danmarks største forlag gemte hundredtusindvis af medlemmers oplysninger i en passiv database i over et årti efter de havde udmeldt sig. Virksomheden havde hverken procedurer eller retningslinjer på plads for sletning i databasen. Det var en så grundlæggende overtrædelse af databeskyttelsesreglerne, at Datatilsynet politianmeldte virksomheden og indstillede til en bøde på 1 million kr.

På et universitet fungerede det interne HR-system blandt andet sådan, at ansatte fik tildelt en ”rolle” for at få adgang til jobansøgninger. Hvilken rolle der blev tildelt og til hvem afhang af den enkelte ansættelsesproces.


I forbindelse med en opdatering af HR-systemet, blev rettighedsstyringen dog nulstillet ved en fejl. Den tidligere styring via rollefordelingen forsvandt i den forbindelse. Konsekvensen var, at 7011 ansatte på universitetet i princippet kunne se de ansøgninger, der før krævede adgang via en særlig rolle. Fordi der ikke blev ført log i systemet, var det ikke muligt at kontrollere om ansøgningerne var blevet tilgået eller ej.


Universitetet havde ikke testet opdateringen først, fordi der ikke var noget der pegede på, at der ville ske ændring i rettighedsstyringen. Leverandøren af softwaren, der også var ansvarlig for implementeringen af den, havde ikke givet nogen form for besked herom. Derfor var der ikke blevet udført en 14 dages test, som ellers ville have været den normale praksis.


Ingen udvej at bebrejde software-leverandøren

Hændelsen var et brud på databeskyttelsessikkerheden, i strid med databeskyttelsesreglerne. Universitetet havde tilsidesat sin pligt til at sikre et tilstrækkeligt sikkerhedsniveau.


Universitetet skulle have identificeret den risiko, som udviklingen og tilpasningen af IT-løsningen indebar.


Eksempelvis skulle løsningen have været testet først, for at tjekke om den indeholdt problemer, der kunne medføre eksempelvis tab, ændring, uautoriseret videregivelse eller adgang til personoplysningerne i systemet. Det var universitetets ansvar selv at undersøge de potentielle konsekvenser ved opdateringen, uanset hvilke oplysninger software-leverandøren havde givet på forhånd.


Universitetet skulle også have foretaget en vurdering af den behandling som ændringerne kunne medføre. Eksempelvis skulle universitetet have overvejet risikoen for nulstilling eller ændring af rettighedsstyringen, uanset at den risiko ikke fremgik af opdateringen på forhånd.


Den manglende forhåndstest af opdateringen udløste alvorlig kritik fra Datatilsynet. Datatilsynet understregede, at det vejede tungt, at der ikke blev ført logs på se-adgang, at der var tale om et stort antal ansatte og et omfattende ansøgningsmateriale, der både indeholdt personnumre og helbredsoplysninger. Databruddet var her særlig slemt for de interne ansøgere.


IUNO mener

Det er ikke første gang Datatilsynet understreger, at rollen som dataansvarlig indebærer, at virksomheder har det fulde ansvar for sikkerhedsniveauet og at det blandt andet omfatter, at alle systemopdateringer mv. er helt sikre, og at alle potentielle risici er analyseret, før opdateringen implementeres.


IUNO anbefaler, at virksomheder har faste retningslinjer på plads, der blandt andet fastsætter sikre og omfattende procedurer for test af opdateringer, inden de indføres. Retningslinjerne bør etablere en proces hvorefter alle sandsynlige fejlscenarier testes i forbindelse med udvikling, opdatering og anden ændring af software, hvor der behandles personoplysninger, før et tilstrækkeligt sikkerhedsniveau er på plads.


[Datatilsynets afgørelse af den 12. maj 2022 i sag nr. 2021-442-13989]

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Nye regler fra EU om platformsarbejde
Nye regler fra EU om platformsarbejde
11/11/2024
Ansættelses- og arbejdsret
Regeringens lovprogram 2024/2025
Regeringens lovprogram 2024/2025
14/11/2024
Ansættelses- og arbejdsret
Dom om opsigelse efter 120-dages-reglen
Dom om opsigelse efter 120-dages-reglen
19/11/2024
Ansættelses- og arbejdsret
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Ingen forskelsbehandling ombord på flyveren
Ingen forskelsbehandling ombord på flyveren
18/11/2024
Ansættelses- og arbejdsret
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted