Lær af de menneskelige fejl


Ny pligt til at indberette brud på persondatasikkerheden

Med EU’s persondataforordning har dataansvarlige virksomheder og organisationer fået pligt til at indberette, hvis man ikke har levet op til forordningens eller egne bestemmelser om persondatasikkerhed. Denne pligt gælder dog ikke, hvis det er usandsynligt, at der var risiko for fysiske personers rettigheder eller frihedsrettigheder.

Datatilsynet har nu kigget nærmere på de 2.780 indberetninger, som man modtog fra 25. maj 2018 og til udgangen af året, og det er nyttig viden. Vi gennemgår her nogle af de hyppige fejl.

2/3 vedrører oplysninger, der er sendt til den ”forkerte” modtager

Vi har nok alle prøvet at komme til at sende til den forkerte. Det kan naturligvis også ske, når der er personoplysninger i mailen. Mange af indberetningerne vedrører tilfælde, hvor der er valgt en sikker måde f.eks. via e-Boks, krypteret eller på en lukket kundeportal, men altså til en forkert modtager. 

En typisk årsag til, at man kommer til at sende til den forkerte modtager, er autoudførelse af e-mailadresser også kaldet auto-complete. Man kan selvfølgelig spare tid ved at have denne funktionalitet aktiveret, men hvis man arbejder med personoplysninger, bør den være slået fra. Desuden bør det være standard, at e-mailadressen tjekkes en ekstra gang, inden beskeden sendes.

Det er oplagt at sørge for, at e-mailsystemets standardindstillinger ikke tillader auto-complete. 

Oplysninger kan forskubbe sig ved brug af flettebreve til masseudsendelser 

Hvis det sker, risikerer man, at modtager 1’s personoplysninger i stedet sendes til modtager 2 – og så videre. Igen er det vigtigt at tjekke sådanne masseforsendelser, inden der trykkes på knappen. 

Mange personoplysninger kompromitteres, når bærbare devices stjæles eller mistes

Datatilsynet har modtaget en del indberetninger, hvor personoplysninger har ligget på transportable devices, som er mistet eller stjålet, bl.a. i det offentlige rum eller fra aflåste kontorer eller biler. Det kan være telefoner, tablets, transportable harddiske, usb-sticks, hukommelseskort og bærbare computere. 

Moralen er ganske enkelt den, at man ikke bør opbevare personoplysninger på bærbare devices. Og hvis man alligevel vurderer, at det er nødvendigt, skal man sørge for at sikre oplysningerne, så de ikke kan læses af uvedkommende. 

Konsekvenser af indberetning af brud på persondatasikkerheden

Når Datatilsynet skal beslutte, hvilken konsekvens et brud på persondatasikkerheden skal have, tages der hensyn til flere ting, bl.a.:

  • Er der tale om en afgrænset og enkeltstående hændelse med en ringe risiko for de registreredes rettigheder?
  • Er den dataansvarliges foranstaltninger i forlængelse af bruddet umiddelbart tilstrækkelige?

Kan der svares ja, vil Datatilsynet normalt afslutte sagen uden at udtale egentlig kritik. Det var tilfældet for langt de fleste af indberetningerne, mens det i færre sager udtales offentlig kritik eller ligefrem foretages politianmeldelse. 

Læs hele Datatilsynets opgørelse her.

Postcast for SMV'er om GDPR-regler

Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.