Datatilsynet har meldt sig selv for brud på persondatasikkerheden

4 kommentarer.  Hop til debatten
Datatilsynet har meldt sig selv for brud på persondatasikkerheden
Illustration: Henning Mølsted.
En sag om håndtering af papiraffald hos Datatilsynet har ført til, at den danske GDPR-myndighed nu har meldt sig selv for brud på persondatasikkerheden.
21. august 2020 kl. 10:29
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den danske GDPR-myndighed, Datatilsynet, har meldt sig selv for brud på persondatasikkerheden, fordi tilsynet ikke har makuleret sit papiraffald i forbindelse med, at det er blevet smidt ud.

Sagen omfatter fysiske dokumenter, der er blevet smidt ud i løbet af det seneste halve år, og papirerne »kan have indeholdt fortrolige og følsomme oplysninger om borgere, medarbejdere mm.,« oplyser tilsynet i en meddelelse.

Det forsømte sikkerhedstiltag er »dybt beklageligt« oplyser Mia Staal Klintrup, der er databeskyttelsesrådgiver i Datatilsynet.

»Vi stiller høje krav til både virksomheder og andre myndigheder om at passe godt på danskernes personoplysninger, og derfor er det meget uheldigt, at vi selv ikke har skilt os af med denne del af Datatilsynets papiraffald på en passende måde,« siger hun i en pressemeddelelse.

Artiklen fortsætter efter annoncen

Hun tilføjer, at tilsynet efterfølgende har gennemgået sine retningslinjer på området, og at der ikke er tegn på, at papiraffaldet er kommet i de forkerte hænder. I øjeblikket overvejer tilsynet, hvordan det skal forholde sig til spørgsmålet om at lave en eventuel underretning at de registrerede personer.

Om sagen:

I februar flyttede Datatilsynet til Valby, og i de nye lokaler blev der - ligesom i de gamle - stillet krav om, at der skulle være en beholder til papiraffald, som skal makuleres. Den skulle blandt andet bruges til dokumenter med følsomme oplysninger om borgere.

En sådan beholder blev dog aldrig stillet op, men derimod er en normal beholder til papiraffald blevet forvekslet med den tiltænkte makuleringsspand på grund af »interne misforståelser«.

Den almindelige affaldsspand er blevet tømt 2-3 gange om ugen i perioden, og de dokumenter, der er havnet i den, er blevet opbevaret i en container i et aflåst skralderum. Bygningens servicepersonale og det vognmandsfirma, der har hentet affaldet og kørt det til genbrug, har haft adgang til rummet.

Praksissen blev opdaget i august måned, og herefter har Datatilsynet bragt proceduren i orden.

Kilde: Datatilsynet.

Meldte sagen for sent

I kølvandet på opdagelsen har Datatilsynet meldt sig selv for brud på persondatasikkerheden.

Datatilsynet har selv stillet krav til, at andre virksomheder eller offentlige myndigheder skal indberette brud inden for 72 timer. Det samme krav skal tilsynet selv leve op til, men det er ikke sket i sagen.

Derimod indsendte Datatilsynet anmeldelsen af sig selv til sig selv »knap et døgn for sent« i forhold til sit eget krav om 72 timer.

»Dette er i sig selv meget uheldigt og er blevet påtalt over for den medarbejder, som havde ansvaret for at anmelde det konkrete brud,« oplyset GDPR-myndigheden i meddelelsen.

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
4
25. august 2020 kl. 05:24

Jeg kan godt lide at du kalder det en bagatel og godtager Datatilsynets beskrivelse af eet døgns forsinkelsen for deres selv-anmeldelse. Jf. artiklen, er der reelt tale om en 4 måneders forsinkelse på Datatilsynets manglende "Egen kvalitets kontrol" som tydeligvis totalt har glippet. Et af de store mantraer ved GDPR var, at vi ALLE skulle forberedes til at "Nu er det altså nye tider - vi skal tænke over hvordan vi håndtere data" Dette statement blev så en smule opblødet af hvordan selve DPO'ens rollen skulle tackles og snart sagt enhver med et 2 timers brevkursus kunne kalde sig DPO. Ikke desto mindre, må vi som borgere i et forholdsvis moderne tænkende samfund, kunne forledes til at tro, at myndighederne evner at tænke selv. Det er ikke tegn på selvtænkende adfærd, at mennesker som arbejder i en organisation som primært har tilsynet med at mennesker i samfundet overholder et regelsæt - at denne organisation totalt overser en af de vigtigste opgaver de selv har - nemlig at behandle papir med data på den korrekte måde. En skraldespand/papirkurv som kun tømmes 2-3 gange om ugen og dermed står frit fremme natten over - burde være NO-GO for enhver normalt tænkende dansker - så derfor konsekvens spørgsmålet igen: Hvorfor har de ansatte i Datatilsynet ikke reageret før? Hvorfor har Datatilsynets DPO ikke opdaget denne fejl før? Hvad skal der til, for at samfundets vagthund tager teeten?

3
23. august 2020 kl. 13:42

Lad os nu se noget konsekvens!

Jeg mener ikke, at der skal være en konsekvens! for dem der indrømmer fejl. Ud over at de lover at forbedre sig. Alle begår fejl. Nogen begår endda den fejl ikke tillade fejl. Det er ikke løsningen. At straffe er ikke et selvstændigt mål. Forbedringer er et mål. Vi skal lære at håndterer de fejl, der bliver begået og stoppe dem ved at forbedre os. Vi opnår ikke meget forbedring ved at staffe dem, som opdater og retter en fejl og derefter lover at forbedre sig.

Vi skal gemme straffen til dem, som ikke forbedre sig, eller som skal have hjælp til at indrømme fejl.

Der er selvfølgelig den bargatel med at sagen blev anmeldt et døgn for sent. Det er selvfølgelig en vurderingsag, hvor stor betydning det har haft. I andre situationer kan det have haft stor betydning. Men nok ikke her. En skraldemand har i forvejen tavhedspligt med hensyn til hvad der bliver smidt ud. Der er ikke noget der tyder på, at han ikke også har overholdt denne tavshedspligt.

2
21. august 2020 kl. 16:58

Dette burde ikke kunne ske - men.... Hvis man nærlæser forklaringen fra DPO'en, så er der et flere ting som halter.

  1. Hvordan har man undersøgt om et evt. misbrug er sket, når alle papirer er sendt til genbrug? Har politiet været involveret?
  2. En overtrædelse af GDPR, som upåagtet får lov til til at gennemsyre hele organisationen i fire måneder. Idet ALLE medarbejdere har smidt papirer ud på ulovlig vis og selv vognmanden reagere ikke, ændrer sagen til en grov overtrædelse.
  3. En DPO's opgaver er både at udstikke retningslinier og at kontrollere at retningslinierne følges. Hvor er ellers DataBeskyttelsesRådgiverens ansvar?

Punkt 3, visualisere to hovedproblemstillinger. Enten har Datatilsynet IKKE afsat de fornødne midler til, at DPO'en kan opfylde sine lovbefalede forpligtigelser eller DPO'en er underkvalificeret og har ikke vidst bedre.

Uanset hvad, så har Datatilsynet her virkelig gjort deres til at underminere tilliden til, at myndighederne evner at overholde deres egne regler incl. GDPR

At Datatilsynet anmelder sig selv, er logik for perlehøns - idet en afsløring ville være en katastrofe. Lad os nu se noget konsekvens!

1
21. august 2020 kl. 11:13

Jeg mener, selvfølgelig burde de havde fokuseret på at overholde reglerne som gælder for alle andre, men det er da særdeles positivt at se, at man ikke skyer tilbage for at bide i det sure æble og dermed være forbillede for 1) selvanmeldelse, 2) indrømmelse af fejl og 3) accept af de konsekvenser, det måtte have.

Hvor mange andre lande ville ikke bare have sagt "pyt" - men ikke her, det er stærk og giver mig tiltro til, at tilsynsmyndigheden udelukkende ser på, om persondatahåndteringen er korrekte eller ej.