Datatilsynet klar med vejledning til virksomheder efter indsigts-bombardement

16. november 2018 kl. 09:346
En vejledning fra Datatilsynet skal hjælpe virksomheder med, hvordan de skal agere ved indsigtsanmodninger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Borgere har i udgangspunktet krav på at få at vide, hvilke data diverse organisationer ligger inde med om dem. Det fortæller Datatilsynet nærmere om her (PDF)

Oplysningerne kan man få ved at sende en indsigtsanmodning til den pågældende organisation.

Denne proces er flere steder rundt om i verden blevet sat i system via app-portaler, der gør det muligt for en borger at sende en indsigtsanmodning til flere organisationer på en gang.

Det fremgår af en nyhed på Datatilsynets hjemmeside, der også tjener som en opdateret vejledning til, hvordan organisationer skal håndtere den slags anmodninger.

Artiklen fortsætter efter annoncen

På tilsynets hjemmeside fremgår det også, at en enkelt app til formålet på det seneste har resulteret i en byge af spørgsmål fra virksomheder i Danmark til Datatilsynet om, hvordan de mange anmodninger skal håndteres.

Uanset mængden skal alle ansøgninger i udgangspunktet behandles. Vejledningens primære formål er at sikre, at besvarelser i forhold til de mange henvendelser sker på forsvarlig vis, så persondata ikke bliver lækket til uvedkommende.

Kommunikationskonsulent hos Datatilsynet Anders Due forklarer, at virksomhederne er i tvivl om, hvordan de skal håndtere, hvis de får en autogenereret mail sendt via en app, hvor blot et almindeligt udbredt personnavn fremgår.

»Hvis man har 50 kunder, så er det måske til at finde ud af. Hvis man har rigtigt mange kunder, og det er et almindeligt navn, så kan det være svært,« siger Anders Due.

'Jens Hansen'

Virksomheden skal med andre ord passe på med bare at søge den første og den bedste 'Jens Hansen' frem af systemet og så sende vedkommendes oplysninger til den person, der beder om registerindsigt.

Derudover så er virksomheder ikke tvunget til at svare via den platform, der er søgt indsigt via.

Det kan tænkes, platformen ikke er tilstrækkeligt sikker til formålet. Og så kan det ifølge Datatilsynet ikke forventes, at en virksomhed eller anden organisation underlægger sig eventuelle tredjepartsvilkår med henblik på at svare via platformen.

»Det er helt principielt. Kan man stille krav om, at en dataansvarlig skal signe op på et site? Vi siger, at det kan man ikke pålægge virksomhederne,« forklarer Anders Due.

Men uanset hvordan indsigtsanmodningen tikker ind, så skal virksomheden forsøge at besvare den. Også selvom anmodningen kommer fra en tredjepartsplatform.

I den forbindelse påpeger Anders Due, er det vigtigt, at besvarelsen sker på forsvarlig vis. Det kan for eksempel være nødvendigt at kryptere oplysningerne - det står der mere om her.

Konkret nævner Datatilsynet Digital Post som en mulighed i den forbindelse.

Og så skal der selvfølgelig være styr på, at data bliver sendt til den rigtige modtagere og ikke eksempelvis en person, der udgiver sig for at være en anden.

»Det er den dataansvarliges ansvar at sikre, at man sender til den rigtige person,« siger Anders Due.

I den forbindelse nævner han, at det jo kan tænkes, at en organisation ligger inde med yderligere data, der kan hjælpe med at identificere afsenderen på indsigtsanmodningen.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
19. november 2018 kl. 11:32

Hverken Version2 eller datatilsynet nævner navnet på den eller de apps, der omtales.

Nogen der ved, hvad det er for en app ?

6
19. november 2018 kl. 10:45

Virksomheden som har udleveret dine data er ansvarlig. De har lavet et "breach". De skal altid kunne sikre at de udelukkende udleverer dine data til dig og kun dig.

Modtageren, hvis han misbruger dine data, er naturligvis og ansvarlig, men det er jo en helt anden snak.

5
19. november 2018 kl. 07:37

Når nu en anden person end mig har fået informationer tilsendt, hvem er så ansvarlig for misbrug af disse informationer?

2
16. november 2018 kl. 11:10

Da den vigtigste forpligtelse hos databehandler er at sikre data, så kan han ikke udlevere dem før han er helt sikker på at de går til rigtig modtager.

Hvis vedkommende har signet op på mail, og bekræftet mailadressen, så er det vel alene mailadressen man har som sikker identifikation af personen. Evt navn/adresse m.m. er ikke valideret, og kan vel ikke bruges i en indsigtsanmodning.

Som jeg læser vejledningen, så kan data sendes per mail når der er tale om enkeltsager, såfremt modtagers mailserver taler TLS, og der anvendes passende agtpågivenhed når modtageradressen indtastes. I mange tilfælde vil NemPost o.lign ikke være muligt, da man ikke har en unik identifikation af personen der kan før til et CPR nummer.

1
16. november 2018 kl. 10:18

"Og så skal der selvfølgeligt være styr på, at data bliver sendt til den rigtige modtagere "

Hvis man får en anmodning fra Hans Hansen, hvordan kan man så forvente af firmaet ved hvilken af de 145 Hans Hansen der er den rigtigt ???

Den her lov er da helt klart på ingen som helst måde gennemtænkt