Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny opgørelse over antallet af sikkerhedsbrud fra Datatilsynet

Kromann Reumert
12/03/2020
Ny opgørelse over antallet af sikkerhedsbrud fra Datatilsynet
Kromann Reumert logo
Datatilsynet har offentliggjort en opgørelse over antallet af sikkerhedsbrud i 4. kvartal 2019. 70 % af de 2.328 anmeldelser om brud på persondatasikkerheden kan henføres til fremsendelse af personoplysninger til forkerte modtagere, mens datatyveri m.v. til stadighed udgør en mindre del af anmeldelserne. Datatilsynet vurderer desuden, at de dataansvarlige i 15 % af anmeldelsestilfældene ikke har foretaget en tilstrækkelig vurdering af, om der skulle ske underretning af de registrerede. Vi giver dig overblik over opgørelsen.

Datatilsynet har siden starten af 2019 udgivet kvartalsmæssige opgørelser over anmeldelser af brud på persondatasikkerheden, mens der foreligger en samlet opgørelse for perioden fra Datatilsynets ikrafttrædelse den 25. maj til den 31. december 2018.

Opgørelserne viser ikke antallet af klager fra de registrerede, men derimod antallet af brud på persondatasikkerheden, som de dataansvarlige har anmeldt til Datatilsynet. I henhold til databeskyttelsesforordningen er den dataansvarlige forpligtet til at anmelde brud på persondatasikkerheden uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige er blevet opmærksom på bruddet ‒ medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske  personers rettigheder eller frihedsrettigheder.

I alt var blev der anmeldt 2.328 brud på persondatasikkerheden i perioden fra den 1. oktober til 31. december 2019. Dermed er der sket en væsentlig stigning fra tredje til fjerde kvartal på 610 anmeldelser svarende til 35,5 %. Samlet er der anmeldt 7.307 sikkerhedsbrud i 2019.

Ifølge Datatilsynet er der ikke i 4. kvartal af 2019 blevet indberettet flere brud, end der er pligt til, hvilket indikerer, at de dataansvarlige i højere grad er blevet bekendte med hvilke situationer, der er omfattet af anmeldelsespligten.


 


Typen af sikkerhedsbrud

Over 70 % af anmeldelserne omhandler sager, hvor personoplysninger er sendt på en sikker måde, f.eks. krypterede mails eller på en lukket kundeportal, men til en forkert modtager grundet menneskelige fejl i afsendelsesøjeblikket. Det er derfor vigtigt, at man som dataansvarlig har implementeret interne procedurer, der forhindrer netop denne situation. Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning, såsom malware, hackning og phishing, udgør til stadighed en mindre del af de samlede anmeldelser.


Tre indskærpelser

I rapporten har Datatilsynet fremsat tre indskærpelser:


  1. Fysiske enheder såsom bærebare computere, telefoner, tablets og USB-nøgler, hvorpå der opbevares personoplysninger, skal krypteres, og brugernavn og kodeord på operativsystemniveau er ikke tilstrækkeligt.
  2. I forbindelse med et sikkerhedsbrud skal der tages stilling til, om der skal ske underretning af de registrerede. I omkring 15 % af anmeldelsestilfældene er der ikke foretaget en korrekt og fyldestgørende vurdering af, om der skal ske underretning af de registrerede i henhold til databeskyttelsesforordningens artikel 34, stk. 1. Derfor har Datatilsynet i perioden udstedt flere påbud til dataansvarlige om underretning af de berørte registrerede.
  3. I forbindelse med udviklingen af nye systemer og i testsituationer skal der foretages passende tekniske og organisatoriske foranstaltninger til sikring af "produktionsdata, kendeord, brugernavne, IP-adresser, certifikater og øvrige angrebsvektorer".


Sektorfordeling

Endvidere fremgår det af opgørelsen, at 61 % af anmeldelserne stammer fra den offentlige sektor, mens de resterende 39 % kommer fra den private sektor. Årsagen til at den offentlige sektor anmelder flest sikkerhedsbrud kan således meget vel være, at offentlige myndigheder har meget kontakt med de registrerede i forbindelse med sagsbehandling.



Datatilsynets behandling

Datatilsynet vil ‒ efter et brud på persondatasikkerheden er blevet anmeldt ‒ som udgangspunkt starte med at foretage en vurdering af bruddet, hvor blandt andet omfanget og risikoen for de registreredes rettigheder vil indgå. Derefter vil bruddet blive sagsbehandlet og til sidst afsluttet med vurderingen af eventuel sanktion.


Læs Datatilsynets opgørelse over sikkerhedsbrud i 4. kvartal 2019


Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Datatilsynet har undersøgt brugen af kunstig intelligens til analyse af optagne telefonsamtaler
Datatilsynet har undersøgt brugen af kunstig intelligens til analyse af optagne telefonsamtaler
27/08/2024
Persondata
NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?
NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?
03/09/2024
Persondata, Compliance, EU-ret
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
Hvordan spiller databeskyttelse ind i konkurrenceretlige afgørelser?
09/09/2024
Persondata, Konkurrenceret
Ved du, hvornår du må behandle personoplysninger?
Ved du, hvornår du må behandle personoplysninger?
10/09/2024
Persondata
Datatilsynets årsberetning 2023
Datatilsynets årsberetning 2023
16/09/2024
Persondata
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
Aarhus Universitet får kritik for flere forhold i forbindelse med forskning
27/09/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted