Datatilsynet klar med vejledning til virksomheder efter indsigts-bombardement

En vejledning fra Datatilsynet skal hjælpe virksomheder med, hvordan de skal agere ved indsigtsanmodninger.

Borgere har i udgangspunktet krav på at få at vide, hvilke data diverse organisationer ligger inde med om dem. Det fortæller Datatilsynet nærmere om her (PDF)

Oplysningerne kan man få ved at sende en indsigtsanmodning til den pågældende organisation.

Denne proces er flere steder rundt om i verden blevet sat i system via app-portaler, der gør det muligt for en borger at sende en indsigtsanmodning til flere organisationer på en gang.

Det fremgår af en nyhed på Datatilsynets hjemmeside, der også tjener som en opdateret vejledning til, hvordan organisationer skal håndtere den slags anmodninger.

På tilsynets hjemmeside fremgår det også, at en enkelt app til formålet på det seneste har resulteret i en byge af spørgsmål fra virksomheder i Danmark til Datatilsynet om, hvordan de mange anmodninger skal håndteres.

Uanset mængden skal alle ansøgninger i udgangspunktet behandles. Vejledningens primære formål er at sikre, at besvarelser i forhold til de mange henvendelser sker på forsvarlig vis, så persondata ikke bliver lækket til uvedkommende.

Kommunikationskonsulent hos Datatilsynet Anders Due forklarer, at virksomhederne er i tvivl om, hvordan de skal håndtere, hvis de får en autogenereret mail sendt via en app, hvor blot et almindeligt udbredt personnavn fremgår.

»Hvis man har 50 kunder, så er det måske til at finde ud af. Hvis man har rigtigt mange kunder, og det er et almindeligt navn, så kan det være svært,« siger Anders Due.

'Jens Hansen'

Virksomheden skal med andre ord passe på med bare at søge den første og den bedste 'Jens Hansen' frem af systemet og så sende vedkommendes oplysninger til den person, der beder om registerindsigt.

Derudover så er virksomheder ikke tvunget til at svare via den platform, der er søgt indsigt via.

Det kan tænkes, platformen ikke er tilstrækkeligt sikker til formålet. Og så kan det ifølge Datatilsynet ikke forventes, at en virksomhed eller anden organisation underlægger sig eventuelle tredjepartsvilkår med henblik på at svare via platformen.

»Det er helt principielt. Kan man stille krav om, at en dataansvarlig skal signe op på et site? Vi siger, at det kan man ikke pålægge virksomhederne,« forklarer Anders Due.

Men uanset hvordan indsigtsanmodningen tikker ind, så skal virksomheden forsøge at besvare den. Også selvom anmodningen kommer fra en tredjepartsplatform.

I den forbindelse påpeger Anders Due, er det vigtigt, at besvarelsen sker på forsvarlig vis. Det kan for eksempel være nødvendigt at kryptere oplysningerne - det står der mere om her.

Konkret nævner Datatilsynet Digital Post som en mulighed i den forbindelse.

Og så skal der selvfølgelig være styr på, at data bliver sendt til den rigtige modtagere og ikke eksempelvis en person, der udgiver sig for at være en anden.

»Det er den dataansvarliges ansvar at sikre, at man sender til den rigtige person,« siger Anders Due.

I den forbindelse nævner han, at det jo kan tænkes, at en organisation ligger inde med yderligere data, der kan hjælpe med at identificere afsenderen på indsigtsanmodningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Nielsen

Lidt spøjs anbefaling fra Datatilsynet:

Konkret nævner Datatilsynet Digital Post som en mulighed i den forbindelse.

Nu er det altså kun myndigheder, der kan sende Digital Post.
(Nogle virksomheder kan sende til e-Boks, men kun hvis de har indgået en aftale med e-Boks.)

Povl Hansen

"Og så skal der selvfølgeligt være styr på, at data bliver sendt til den rigtige modtagere "

Hvis man får en anmodning fra Hans Hansen, hvordan kan man så forvente af firmaet ved hvilken af de 145 Hans Hansen der er den rigtigt ???

Den her lov er da helt klart på ingen som helst måde gennemtænkt

Povl H. Pedersen

Da den vigtigste forpligtelse hos databehandler er at sikre data, så kan han ikke udlevere dem før han er helt sikker på at de går til rigtig modtager.

Hvis vedkommende har signet op på mail, og bekræftet mailadressen, så er det vel alene mailadressen man har som sikker identifikation af personen. Evt navn/adresse m.m. er ikke valideret, og kan vel ikke bruges i en indsigtsanmodning.

Som jeg læser vejledningen, så kan data sendes per mail når der er tale om enkeltsager, såfremt modtagers mailserver taler TLS, og der anvendes passende agtpågivenhed når modtageradressen indtastes. I mange tilfælde vil NemPost o.lign ikke være muligt, da man ikke har en unik identifikation af personen der kan før til et CPR nummer.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder