16. maj 2017

En menneskelig fejl

Datatilsynet fandt det meget beklageligt, at oplysninger om 95.000 abonnenter havde ‎været tilgængelige for uvedkommende via internettet.

En dataansvarlig skal sørge for de fornødne tekniske og organisatoriske ‎sikkerhedsforanstaltninger, så persondata, der behandles af den dataansvarlige selv ‎eller af de databehandlere, der er indgået aftale med, ikke kommer til uvedkommendes ‎kendskab. I denne sag var Datatilsynet blevet opmærksom på, at det via internettet var ‎muligt at få adgang til oplysninger om personer, der var tilmeldt virksomhedens ‎‎”Jobagent-side”. ‎

Sagen handlede om en virksomhed, hvis eksterne IT-leverandør havde oprettet en ‎testside i produktionsmiljøet på virksomhedens hjemmeside. Grundet en menneskelig ‎fejl var det blevet muligt at tilgå testsiden via diverse søgemaskiner på internettet. Det ‎betød, at der i princippet var fri adgang til oplysninger om 95.000 personer, der ‎abonnerede på meddelelser om stillinger, som virksomheden slog op. Testsiden kunne ‎dog ikke tilgås via hyperlinks på andre dele af hjemmesiden. ‎

Da virksomheden blev klar over sikkerhedshullet, blev det straks lukket, og ‎virksomheden sørgede for, at alle udgaver af testsiden blev fjernet fra internettet. I den ‎forbindelse sørgede virksomheden også for, at testsiden ikke længere kunne tilgås ved ‎hjælp af de 13 største globale søgemaskiner. ‎

Datatilsynet fandt det meget beklageligt, at oplysningerne havde været tilgængelige på ‎testsiden, og bemærkede, at virksomhedens behandling af personoplysninger ikke ‎havde levet op til kravet om fornødne sikkerhedsforanstaltninger.

Norrbom Vinding bemærker

  • at afgørelsen illustrerer, at den dataansvarlige som udgangspunkt også er ansvarlig for ‎sine databehandleres overholdelse af persondataloven, ‎
  • at dette også gælder, når der er tale om enkeltstående menneskelige fejl, ‎
  • ‎ ‎at den dataansvarlige derfor må sørge for løbende tilsyn med sine databehandlere med ‎henblik på at sikre, at persondatalovens regler bliver overholdt, og‎
  • at den dataansvarlige i øvrigt må sørge for effektiv og relevant håndtering, hvis en ‎sikkerhedsbrist alligevel opstår.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Skrevet af

Kategori

Persondata