Datatilsynet må stadigvæk jævnligt konstatere et betydeligt antal tilfælde, svarende til ca. 15 procent af anmeldelserne, hvor der ikke er foretaget en korrekt og fyldestgørende vurdering af, om der skal ske underretning til de registrerede.
Det fremgår af en ny opgørelse, som ser på tendenserne i de 2.328 brud på persondatasikkerheden, der blev anmeldt til Datatilsynet i fjerde kvartal af 2019.
Antallet af brud på persondatasikkerheden er en stigning på ca. 30 procent sammenlignet med tallene fra de foregående kvartaler i 2019. Stigningen, der primært kan henføres til oktober og november måned, skyldes et mindre antal hændelser hos databehandlere, der løser opgaver for flere dataansvarlige, oplyser tilsynet.
December måneds tal er på linje med det niveau og den trend, der var for det foregående kvartal, nemlig at antallet af indberetninger i den periode havde nået et mere ensartet niveau.
Datatilsynet indskærper i opgørelsen, at der skal tages stilling til, om der skal ske underretning til de registrerede eller ej.
Den dataansvarlige skal kunne dokumentere, at de har vurderet risikoen for den registreredes rettigheder efter databeskyttelsesforordningens artikel 34, stk. 1, og det skal kunne godtgøres - såfremt en dataansvarlig ikke har informeret en registreret i de tilfælde, hvor der sandsynligvis er en høj risiko for den registreredes rettigheder.
Udvikling og test fører til databrud
Datatilsynet har i perioden udstedt flere påbud til dataansvarlige om at foretage en sådan underretning. Generelt er der mange tilfælde, hvor der under udviklingen af nye systemer og i testsituationer sker brud på persondatasikkerheden. Derfor indskærper tilsynet, at alle produktionsdata, kendeord, brugernavne, IP-adresser, certifikater og øvrige angrebsvektorer skal undergives en passende sikkerhed.
En sådan sikkerhed skal som minimum være på niveau med det,der gælder for produktionsmiljøet, hvilket risikovurderingen skal afspejle. Ifølge opgørelsen er det Datatilsynets opfattelse, at brugen af produktionsdata til testformål ikke bør forekomme, andet end i helt enkeltstående tilfælde, og altid kun når niveauet af sikkerhed er minimum det samme, som er vurderet passende for drifts-setuppet.
Der ses stadig for mange anmeldelser, hvor den dataansvarliges it-afdeling og databehandlere ikke har foretaget relevante løbende opdateringer af alle de softwarekomponenter, der benyttes, og har beskyttet de netværk, de selv kontrollerer, mod trusler udefra ved en altid rigtigt konfigureret firewall.
Opgørelsen har dog også positive nyheder. Det er Datatilsynets opfattelse, at der nu har etableret sig en fast rutine blandt de dataansvarlige, og reglerne synes at være blevet alment kendt, lyder det. Særligt vidner anmeldelserne om, at de dataansvarlige generelt har fået et godt overblik over interne procedurer og opsamlet erfaringer, sådan at de reelle brud, der sker, bliver opfanget og indberettet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
