Datatilsynet indskærper: Dataansvarlige glemmer at informere borgere om sikkerhedsbrud

Illustration: Datatilsynet
I ca. 15 procent af anmeldelserne til Datatilsynet i fjerde kvartal 2019 var der ikke foretaget en korrekt vurdering af, om de registererede skulle underrettes. Datatilsynet har givet påbud i flere tilfælde.

Datatilsynet må stadigvæk jævnligt konstatere et betydeligt antal tilfælde, svarende til ca. 15 procent af anmeldelserne, hvor der ikke er foretaget en korrekt og fyldestgørende vurdering af, om der skal ske underretning til de registrerede.

Det fremgår af en ny opgørelse, som ser på tendenserne i de 2.328 brud på persondatasikkerheden, der blev anmeldt til Datatilsynet i fjerde kvartal af 2019.

Antallet af brud på persondatasikkerheden er en stigning på ca. 30 procent sammenlignet med tallene fra de foregående kvartaler i 2019. Stigningen, der primært kan henføres til oktober og november måned, skyldes et mindre antal hændelser hos databehandlere, der løser opgaver for flere dataansvarlige, oplyser tilsynet.

December måneds tal er på linje med det niveau og den trend, der var for det foregående kvartal, nemlig at antallet af indberetninger i den periode havde nået et mere ensartet niveau.

Datatilsynet indskærper i opgørelsen, at der skal tages stilling til, om der skal ske underretning til de registrerede eller ej.

Den dataansvarlige skal kunne dokumentere, at de har vurderet risikoen for den registreredes rettigheder efter databeskyttelsesforordningens artikel 34, stk. 1, og det skal kunne godtgøres - såfremt en dataansvarlig ikke har informeret en registreret i de tilfælde, hvor der sandsynligvis er en høj risiko for den registreredes rettigheder.

Udvikling og test fører til databrud

Datatilsynet har i perioden udstedt flere påbud til dataansvarlige om at foretage en sådan underretning. Generelt er der mange tilfælde, hvor der under udviklingen af nye systemer og i testsituationer sker brud på persondatasikkerheden. Derfor indskærper tilsynet, at alle produktionsdata, kendeord, brugernavne, IP-adresser, certifikater og øvrige angrebsvektorer skal undergives en passende sikkerhed.

En sådan sikkerhed skal som minimum være på niveau med det,der gælder for produktionsmiljøet, hvilket risikovurderingen skal afspejle. Ifølge opgørelsen er det Datatilsynets opfattelse, at brugen af produktionsdata til testformål ikke bør forekomme, andet end i helt enkeltstående tilfælde, og altid kun når niveauet af sikkerhed er minimum det samme, som er vurderet passende for drifts-setuppet.

Læs også: Voldsom kritik af KMD fra kommuner i sag om persondata på hacket server

Der ses stadig for mange anmeldelser, hvor den dataansvarliges it-afdeling og databehandlere ikke har foretaget relevante løbende opdateringer af alle de softwarekomponenter, der benyttes, og har beskyttet de netværk, de selv kontrollerer, mod trusler udefra ved en altid rigtigt konfigureret firewall.

Opgørelsen har dog også positive nyheder. Det er Datatilsynets opfattelse, at der nu har etableret sig en fast rutine blandt de dataansvarlige, og reglerne synes at være blevet alment kendt, lyder det. Særligt vidner anmeldelserne om, at de dataansvarlige generelt har fået et godt overblik over interne procedurer og opsamlet erfaringer, sådan at de reelle brud, der sker, bliver opfanget og indberettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Mon det virkeligt oftest er tilfældet, at det er noget, man "glemmer"? I givet fald, er man så sin opgave som dataansvarlig voksen?

Og hvis man så "vurderer", at det er der ingen grund til at bekymre de berørte borgere med, hvad siger Datatilsynet så - om noget overhovedet?:
"Han og den øvrige ledelse mente ikke, at oplysningerne skulle ud, da de kunne skabe unødig utryghed blandt patienterne, fremgår det af papirer i sagen."
https://ekstrabladet.dk/kup/elektronik/teknologi/efter-afsloering-af-cpr...

  • 8
  • 0
Kjeld Flarup Christensen

da de kunne skabe unødig utryghed blandt patienterne


Det sikkert rigtigt nok. Hvad kan de ramte bruge oplysningen til? Der er reelt ikke noget de kan gøre, ud over at blive bange for at oplysningerne falder i de forkerte hænder.
(tænk om det var en paranoid psykiatri patient.)

Kun hvis f.eks. det er passwords som er lækket, har det en betydning for brugerne.

Offentlighedskravet er derfor mere en straf, en gabestok, for de som ikke passer ordentligt på. Måske ikke det mest pædagogiske, men det sætter pres på den data ansvarlige om at gøre sit bedste.

  • 0
  • 3
Jørgen L. Sørensen

Det sikkert rigtigt nok. Hvad kan de ramte bruge oplysningen til? Der er reelt ikke noget de kan gøre, ud over at blive bange for at oplysningerne falder i de forkerte hænder.
(tænk om det var en paranoid psykiatri patient.)

Mener ikke jeg er en patient i en af de grupper du nævner :-)

Hvis de virksomheder og myndigheder, der har registreret data om mig, altid melder ud når de klokker i det, har jeg en rimelig tillid til at de passer godt på mine data.

Hvis jeg derimod ved, at det er op til dem at vurdere om de skal melde ud når de bøffer i det, har jeg ikke megen tillid til at de passer på mine data.

Det svarer lidt til den holdning, at min læge ikke behøver fortælle mig at jeg er alvorligt syg når behandling er umulig --- så vil jeg altid tvivle på om jeg virkelig er rask, når hun lige har forsikret mig om at jeg fejler noget harmløst, som nemt kan kureres.

  • 2
  • 0
Kjeld Flarup Christensen

Det anede mig nok at jeg fik tommelfingre nedad for at stille spørgsmålstegn ved, om folk kan bruge den information til noget.

Hvis jeg derimod ved, at det er op til dem at vurdere om de skal melde ud når de bøffer i det, har jeg ikke megen tillid til at de passer på mine data.


Det skal de jo heller ikke. Det skal meldes ud. De skal i gabestok.
Men formålet med det er kun præventivt, for i langt de fleste tilfælde kan modtageren kun sige nå, ligesom med de GDPR bokse man siger ja til hver dag.

  • 0
  • 2
Log ind eller Opret konto for at kommentere