15.12.2021 | Data protection

Written by

Søren Terp Kristophersen
Associate CIPP/E

Ris for brud på datasikkerhed – men ros for at anmelde det

Datatilsynet har udtalt alvorlig kritik af en virksomhed, som uden tilstrækkelig adgangsstyring havde oplysninger om bl.a. en lang række medarbejdere liggende på et fællesdrev.

Det følger af de databeskyttelsesretlige regler, at dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, som passer til risici forbundet med behandlingen. I denne sag skulle Datatilsynet tage stilling til, om en virksomhed havde truffet sådanne foranstaltninger.

Sagen handlede om en virksomhed, som i forbindelse med afprøvning af et nyt it-værktøj blev opmærksom på, at der på et fællesdrev, hvor der ikke var tilstrækkelig adgangsstyring, lå mapper, som indeholdt filer med personoplysninger om bl.a. en lang række medarbejdere og eksterne konsulenter. Virksomheden blev bekendt med dette den 9. juni 2021 og anmeldte bruddet på datasikkerheden til Datatilsynet den 12. juni 2021.

Nogle af filerne havde de registrerede selv placeret på fællesdrevet, mens andre var blevet placeret af virksomheden. Filerne indeholdt bl.a. oplysninger om helbred, faglige tilhørsforhold, økonomiske forhold og personnumre. Filerne var placeret på fællesdrevet mellem 2013-2017. Siden havde virksomheden strammet sin politik for adgangskontrol og brugerstyring, ligesom virksomheden var ved at overgå til en løsning med bedre brugerstyring.

Uautoriseret adgang
Datatilsynet konstaterede, at virksomheden havde taget initiativ til at rydde op i filerne mellem den 11. juni 2021 og 28. august 2021, hvor filerne blev flyttet til en mappe, som alene medarbejdere med et arbejdsbetinget behov havde adgang til. I perioden forud herfor havde der imidlertid været uautoriseret adgang til personoplysningerne, og Datatilsynet fandt derfor, at der var sket et brud på datasikkerheden.

Datatilsynet fandt i forlængelse heraf, at virksomheden ikke havde levet op til kravet om fornødne sikkerhedsforanstaltninger, idet virksomheden dels burde have været opmærksom på, at medarbejdere fejlagtigt kunne placere personoplysninger på fællesdrevet, dels burde have kontrolleret og ryddet op på pågældende fællesdrev. Endvidere burde der være blevet indført relevante sikkerhedsforanstaltninger tidligere end sket.

I vurderingen tillagde Datatilsynet det bl.a. vægt, at personoplysningerne – hvoraf nogle var følsomme (omfattet af GDPR artikel 9) – havde været tilgængelige siden 2013, at virksomheden som følge af dens størrelse tidligere burde have været opmærksom på problemet, og at der normalt stilles højere krav til omhyggelighed ved sikring mod uautoriseret adgang, når der er tale om systemer med et stort antal oplysninger om et stort antal registrerede.

Samlet set fandt Datatilsynet derfor grundlag for at udtale alvorlig kritik. Datatilsynet bemærkede imidlertid også, at virksomheden var ved at overgå til en mere sikker løsning, bl.a. med bedre brugerstyring og logning, og at virksomheden anmeldte sikkerhedsbruddet til Datatilsynet rettidigt inden for tidsfristen på 72 timer.

Norrbom Vinding bemærker

  • at afgørelsen illustrerer, at der i forhold til kravet om passende sikkerhedsforanstaltninger normalt vil blive stillet højere krav til sikring mod uautoriseret adgang, hvis der er tale om systemer med et stort antal oplysninger om et stort antal registrerede, og
  • at det herudover bl.a. indgår i Datatilsynets vurdering, om der behandles følsomme oplysninger, hvor lang tid oplysningerne var tilgængelige for uautoriserede, samt om virksomheden som følge af sin størrelse burde have været mere opmærksom – herunder eventuelt burde have indført yderligere sikkerhedsforanstaltninger.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.