Flere anmeldelser til Datatilsynet

Med Databeskyttelsesforordningens ikrafttræden fulgte den dataansvarliges pligt til at anmelde brud på persondatasikkerheden til Datatilsynet.

Anmeldelsespligten og stigning i antallet af anmeldelser

Ifølge Databeskyttelsesforordningens art. 33 skal den dataansvarlige anmelde brud på persondatasikkerheden uden unødig forsinkelse, og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder.

Datatilsynet har offentliggjort en opgørelse over de anmeldelser om brud, som er modtaget i perioderne fra 25. maj 2018 til 31. december 2018 og fra 1. januar 2019 til 31. marts 2019.

Fra Databeskyttelsesforordningens ikrafttræden den 25. maj 2018 frem til den 31. december 2018 har Datatilsynet modtaget 2.780 anmeldelser om brud på persondatasikkerheden og fra 1. januar 2019 til 31. marts 2019 har Datatilsynet modtaget 1.521 anmeldelser. Hvis man ser på det gennemsnitlige antal anmeldelser i de to perioder, er der sket en stigning fra ca. 400 anmeldelser pr. måned til ca. 500 anmeldelser pr. måned. Denne stigende tendens i antallet af anmeldelser hænger sammen med den fortsat stigende bevågenhed på persondataområdet efter Databeskyttelsesforordningens (og den heri indeholdte anmeldelsespligts) ikrafttræden.

Anmeldelsernes fordeling mellem den offentlige og den private sektor

I perioden lige efter Databeskyttelsesforordningens ikrafttræden var der en overvægt af anmeldelser fra dataansvarlige i den private sektor, men allerede i slutningen af 2018 havde dette ændret sig til, at der i stedet var en svag overvægt af anmeldelser fra dataansvarlige i den offentlige sektor. I perioden fra 1. januar 2019 til 31. marts 2019 fordeler anmeldelserne sig med 62% fra dataansvarlige i den offentlige sektor og 38% fra dataansvarlige i den private sektor. Desuden ses den generelle stigning i anmeldelsesantallet at være højere i den offentlige sektor end i den private sektor.

Anmeldelsernes fordeling mellem private brancher og offentlige institutioner

I den offentlige sektor er det i langt over halvdelen af tilfældene kommunerne, der foretager anmeldelser til Datatilsynet. Derudover stammer en del anmeldelser fra forskellige styrelser.

For den private sektors vedkommende er fordelingen mere jævn, men overtallet af anmeldelserne stammer i perioden fra 1. januar 2019 til 31. marts 2019 fra områderne for forsikring og pension samt banker, sparekasser og kreditforeninger.

Anmeldelsernes karakter

Over 2/3 af anmeldelserne vedrører situationer, hvor oplysninger, som følge af fejl i forbindelse med afsendelsen, er sendt til den forkerte modtager. Rigtig mange af anmeldelserne omhandler situationer, hvor persondata om én eller få borgere er sendt på en sikker måde – eksempelvis via e-boks – men til en forkert modtager.

Derudover er der situationer, hvor persondata via brevpost er sendt til modtagerens registrerede folkeregisteradresse, men hvor den registrerede enten er fraflyttet adressen med den følge, at adressens nye beboer modtager brevet, eller hvor postvæsnet fejlagtigt afleverer brevet på en forkert adresse.

En del af anmeldelserne vedrører situationer, hvor persondata ved en fejl ikke er undergivet den fortrolighed, som den dataansvarlige ellers har vurderet, er nødvendig for retmæssig behandling – eksempelvis hvor mails, i strid med den dataansvarliges vurdering og instruks, ikke sendes i krypteret form.

Hacking og lignende uretmæssige indgreb i systemerne fra udenforstående spiller en mindre rolle, end mange muligvis forestiller sig, og udgør alene mindre end 5% af det samlede antal anmeldelser.

Herudover fylder de tilfælde, hvor dokumenter eller fysiske enheder indeholdende persondata bliver stjålet fra aflåste opbevaringssteder eller mistet i det offentlige rum, også i anmeldelserne.

Formentlig på baggrund af de sidstnævnte tilfælde udtaler Datatilsynet i opgørelserne, at fysiske enheder – såsom telefoner, tablets, laptops, usb-sticks og transportable harddiske – som udgangspunkt slet ikke skal indeholde persondata. Hvis sådanne enheder alligevel indeholder persondata, så skal det ske under anvendelse af krypteringsmetoder som sikrer, at ingen uvedkommende kan læse de indeholdte persondata i tilfælde af, at enheden mistes.

Naturligvis skal der ske kryptering i nødvendigt omfang, men et udgangspunkt om, at de nævnte enheder slet ikke må indeholde persondata, risikerer måske at begrænse den frie udveksling af persondata, som omtalt i Databeskyttelsesforordningens art. 1, stk. 3.

Datatilsynet opfordrer herudover til, at virksomheder, der behandler persondata, har fokus på mere grundlæggende organisatoriske tiltag, der kan være med til at mindske risikoen – især hvor der eksempelvis anvendes automatisk udfyldelse af e-mailadresser, eller hvor breve sendes ud til mange modtagere ved hjælp af flettelister. Ved anvendelse af sådanne metoder er risikoen for fejl stor, og der ses fortsat mange anmeldelser om brud på dette område.

Datatilsynets behandling af anmeldelserne

I opgørelserne anfører Datatilsynet, at brud på persondatasikkerheden, som medfører risiko for fysiske personers persondataretlige rettigheder eller frihedsrettigheder, som udgangspunkt mindst skal resultere i kritik fra Datatilsynet.

Hvor der derimod er tale om enkeltstående situationer, hvor der kun er ringe risiko for de nævnte rettigheder, og hvor de foranstaltninger, som den dataansvarlige har iværksat for at undgå gentagelse, anses som værende tilstrækkelige, vil Datatilsynet ikke finde anledning til at udtale kritik. Her vil hændelsen dog kunne indgå i Datatilsynets overvejelser i tilfælde af senere indkomne anmeldelser om brud hos samme virksomhed. Desuden vil sagen naturligvis kunne genoptages, hvis der senere fremkommer nye oplysninger af betydning.

Datatilsynet regner med, at ca. halvdelen af de modtagne anmeldelser afsluttes uden udtalelse af kritik.

Hvad spørger tilsynet om?

Datatilsynet har offentliggjort en liste over de temaer, som tilsynet har valgt især at fokusere på i forbindelse med de planlagte tilsyn i første halvår af 2019.

De offentliggjorte fokusområder er følgende:

• Brud på persondatasikkerheden hos offentlige myndigheder og private virksomheder


• Databeskyttelsesrådgiverfunktionen hos kommunerne


• Kryptering af e-mails hos private virksomheder


• Autorisation af medarbejdere hos kommunerne


• Den registreredes indsigtsret hos offentlige myndigheder og private virksomheder


• Brug (og genbrug) af data i den kommunale forvaltning


• Aggregering og sammenstilling af data til brug for videresalg hos private virksomheder

Sammenlignet med de områder, som Datatilsynet havde fokus på i sidste halvår af 2018, tyder det på, at i hvert fald databeskyttelsesrådgiverfunktionen og den registreredes rettigheder (herunder indsigtsret) er områder, som der generelt vil være fokus på – også i fremtiden. Desuden er spørgsmålet om, hvorvidt der foreligger hjemmel for behandlingen særligt relevant, og må således tillige forventes at være i fokus i fremtiden.

Uanset hvilke områder, der indtil videre har været fokus på, er det vigtigt, at man som virksomhed, der behandler persondata, generelt handler i overensstemmelse med Databeskyttelsesforordningen, idet brud på persondatasikkerheden kan ske inden for alle områder, ligesom det skal erindres, at Datatilsynet kan komme på tilsyn i andre sammenhænge også – eksempelvis i forbindelse med en klage, hvorefter de vil undersøge disse forhold nærmere, i stedet for dem, der er offentliggjort i forbindelse med et sikkerhedsbrud.