Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny opgørelse over antallet af sikkerhedsbrud fra Datatilsynet

Kromann Reumert
12/03/2020
Ny opgørelse over antallet af sikkerhedsbrud fra Datatilsynet
Kromann Reumert logo
Datatilsynet har offentliggjort en opgørelse over antallet af sikkerhedsbrud i 4. kvartal 2019. 70 % af de 2.328 anmeldelser om brud på persondatasikkerheden kan henføres til fremsendelse af personoplysninger til forkerte modtagere, mens datatyveri m.v. til stadighed udgør en mindre del af anmeldelserne. Datatilsynet vurderer desuden, at de dataansvarlige i 15 % af anmeldelsestilfældene ikke har foretaget en tilstrækkelig vurdering af, om der skulle ske underretning af de registrerede. Vi giver dig overblik over opgørelsen.

Datatilsynet har siden starten af 2019 udgivet kvartalsmæssige opgørelser over anmeldelser af brud på persondatasikkerheden, mens der foreligger en samlet opgørelse for perioden fra Datatilsynets ikrafttrædelse den 25. maj til den 31. december 2018.

Opgørelserne viser ikke antallet af klager fra de registrerede, men derimod antallet af brud på persondatasikkerheden, som de dataansvarlige har anmeldt til Datatilsynet. I henhold til databeskyttelsesforordningen er den dataansvarlige forpligtet til at anmelde brud på persondatasikkerheden uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige er blevet opmærksom på bruddet ‒ medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske  personers rettigheder eller frihedsrettigheder.

I alt var blev der anmeldt 2.328 brud på persondatasikkerheden i perioden fra den 1. oktober til 31. december 2019. Dermed er der sket en væsentlig stigning fra tredje til fjerde kvartal på 610 anmeldelser svarende til 35,5 %. Samlet er der anmeldt 7.307 sikkerhedsbrud i 2019.

Ifølge Datatilsynet er der ikke i 4. kvartal af 2019 blevet indberettet flere brud, end der er pligt til, hvilket indikerer, at de dataansvarlige i højere grad er blevet bekendte med hvilke situationer, der er omfattet af anmeldelsespligten.


 


Typen af sikkerhedsbrud

Over 70 % af anmeldelserne omhandler sager, hvor personoplysninger er sendt på en sikker måde, f.eks. krypterede mails eller på en lukket kundeportal, men til en forkert modtager grundet menneskelige fejl i afsendelsesøjeblikket. Det er derfor vigtigt, at man som dataansvarlig har implementeret interne procedurer, der forhindrer netop denne situation. Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning, såsom malware, hackning og phishing, udgør til stadighed en mindre del af de samlede anmeldelser.


Tre indskærpelser

I rapporten har Datatilsynet fremsat tre indskærpelser:


  1. Fysiske enheder såsom bærebare computere, telefoner, tablets og USB-nøgler, hvorpå der opbevares personoplysninger, skal krypteres, og brugernavn og kodeord på operativsystemniveau er ikke tilstrækkeligt.
  2. I forbindelse med et sikkerhedsbrud skal der tages stilling til, om der skal ske underretning af de registrerede. I omkring 15 % af anmeldelsestilfældene er der ikke foretaget en korrekt og fyldestgørende vurdering af, om der skal ske underretning af de registrerede i henhold til databeskyttelsesforordningens artikel 34, stk. 1. Derfor har Datatilsynet i perioden udstedt flere påbud til dataansvarlige om underretning af de berørte registrerede.
  3. I forbindelse med udviklingen af nye systemer og i testsituationer skal der foretages passende tekniske og organisatoriske foranstaltninger til sikring af "produktionsdata, kendeord, brugernavne, IP-adresser, certifikater og øvrige angrebsvektorer".


Sektorfordeling

Endvidere fremgår det af opgørelsen, at 61 % af anmeldelserne stammer fra den offentlige sektor, mens de resterende 39 % kommer fra den private sektor. Årsagen til at den offentlige sektor anmelder flest sikkerhedsbrud kan således meget vel være, at offentlige myndigheder har meget kontakt med de registrerede i forbindelse med sagsbehandling.



Datatilsynets behandling

Datatilsynet vil ‒ efter et brud på persondatasikkerheden er blevet anmeldt ‒ som udgangspunkt starte med at foretage en vurdering af bruddet, hvor blandt andet omfanget og risikoen for de registreredes rettigheder vil indgå. Derefter vil bruddet blive sagsbehandlet og til sidst afsluttet med vurderingen af eventuel sanktion.


Læs Datatilsynets opgørelse over sikkerhedsbrud i 4. kvartal 2019


Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted