Ny rapport om GDPR: Danmark i top-3 over flest persondatabrud

Illustration: Bigstock
Kun Holland og Irland har haft flere meldte persondatabrud end Danmark i forhold til antallet af indbyggere.

Danmark ligger i toppen, når det gælder brud på persondatasikkerheden.

Det viser en ny rapport fra advokatfirmaet DLA Piper, der udkom i går.

Rapporten viser, at Danmark ligger på en tredjeplads, når det kommer til antallet af underretninger om brud på persondatasikkerheden pr. indbygger. Kun Holland og Irland ligger højere. For det samlede antal af underretninger siden maj 2018, hvor GDPR-lovgivningen fandt anvendelse, ender Danmark på en femteplads.

I alt modtog Datatilsynet i Danmark 9806 underretninger i perioden 25. maj 2018 til 27. januar 2020. Det svarer til lidt over 115 persondatabrud per 100.000 indbyggere.

Men det betyder ifølge jurist og it-sikkerhedsspecialist i Datatilsynet, Allan Frank, ikke nødvendigvis, at Danmark er mere usikkert end de andre lande.

»For det første er Danmark et relativt digitaliseret land, hvilket vil sige, at meget af kommunikationen mellem borgere, virksomheder og myndigheder foregår digitalt. Og fire ud af fem af de brud, vi får underretninger om her i Danmark, vedrører mindre sager, hvor fx enkeltpersoners informationer sendes til den forkerte modtager - typisk på grund af menneskelige fejl,« lyder det fra Allan Frank i en pressemeddelelse fra Datatilsynet.

Og så er både den private og offentlige sektor i Danmark vant til at indberette brud på persondatasikkerheden til myndighederne, og fordi det er nemt og velkendt at indberette brud, mener Allan Frank, er det også med til, at Danmark optræder så højt oppe i statistikken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Niels Madsen

Datatilsynet er angiveligt en uafhængigt tilsynsmyndighed, og består af Datarådet og dets sekretariat.

Men en interessant detalje er at alle Datarådets medlemmer udpeges af Justitsministeren, pånær to. De sidte to udpeges af Erhvervsministeren.

Alle rådets medlemmer skal i øvrigt sikkerhedsgodkendes, hvilket nok kan give en vis mening, da de kan få indsigt i følsomme data, men dette kan nok også udelukke mange som offentligt måtte have ytret afvigende holdninger om borgernes rettigheder i forhold til statens.

  • 3
  • 0
#5 Thomas Leonardo Pedersen

I vores arbejde med at udbrede kendskabet til mit firmas GDPR videoplatform VideoTool SECURE, ringer vi rundt til kommuner og styrelser mf.. Det er jo salgsarbejde vi laver, men når vi snakker med de ansvarlige på de respektive arbejdspladser, bliver vi nogle gange nødt til at rive os selv i håret efterfølgende. Vores løsning er IT revideret og ISAE 3000 certificeret. Der er sikret App til og 2-faktor login mm. Alt er på danske servere mm. Nogle af de kommuner vi snakke med er helt i top hvad angår compliance, og tager det enormt alvorligt, og så møder vi andre, hvor deres DPOer (eller mangel på samme) kan sige at "videooptagelse med personfølsomme data, det lader vi medarbejderne selv finde løsninger på" underforstået at der benyttes Dropbox, WeTransfoer, Office 365 og sågar YouTube. I mit hoved giver det ingen mening at der ikke i KL eller fra Datatilsynets side, er udarbejde fælles retningslinjer for hvordan offentlige myndigheder skal håndtere dette problem. Fælles standarder og måske guide myndighederne - og private institutioner i hvordan man overholder GDPR. Gerne med forslag til konkret anvendelse af godkendte værktøjer og softwareløsninge. Det er ikke nok at sende dem forordningen til gennemlæsning og egen fortolkning.

  • 2
  • 0
#7 Niels Madsen

Thomas Leonardo Pedersen, Måske kan du sige noget om lovligheden af denne DPO praksis: I min kommune, Frederiksberg, sker der det, at når man skriver til DPO'en på den af kommunen offentliggjorte kontakt addresse til deres Databeskyttelsesrådgiver, så bliver emailen først modtaget af en chefkonsulent som er "Koordinator for GDPR og databeskyttelse" og ansat i "It og Digitalisering, Kommunaldirektørområdet" indenfor kommunen. Og først derefter vidresendes borgerens email til den rigtige, udpegede DPO, som er outsourcet til et revisionsfirma.

Når svaret fra DPO'en kommer tilbage, så går det igen igennem denne ansatte, som vidresender den til borgeren, og på en måde så man aldrig får DPO'en email address at se.

Ifølge afsnit 2.6 i "Retningslinjer for databeskyttelsesrådgivere", https://www.datatilsynet.dk/media/6837/databeskyttelsesraadgivere-dpo-er... fremgår det at:

"Offentliggørelse og meddelelse om databeskyttelsesrådgiverens kontaktoplysninger Artikel 37, stk. 7, i databeskyttelsesforordningen kræver, at den dataansvarslige eller databehandleren: offentliggør databeskyttelsesrådgiverens kontaktoplysninger meddeler databeskyttelsesrådgiverens kontaktoplysninger til de relevante tilsynsmyndigheder. Formålet med disse krav er at sikre, at de registrerede (både i og uden for organisationen) og tilsynsmyndighederne nemt og direkte kan kontakte databeskyttelsesrådgiveren uden at behøve kontakte nogen anden del af organisationen. Fortrolighed er et lige så vigtigt punkt: For eksempel kan medarbejdere være tilbageholdende med at klage til databeskyttelsesrådgiveren, hvis fortroligheden i deres kommunikation ikke er sikret."

Jeg har sprugt Datatilsynet om de kan behandle klager vedr. en DPO's uafhængighed, med tilsynet siger at det er uden for deres område.

Måske nogen her har et bud på hvor man så kan henvende sig. Jeg har endnu ikke modtaget noget svar fra kommunen vedr. dette problem.

  • 1
  • 0
#8 Lars Christensen

Niels, du anfører, at du har spurgt Datatilsynet om de kan behandle klager vedr. DPO uafhængighed. Umiddelbart er det min holdning, at Datatilsynet ikke skal spørges om de vil behandle en klage. Enten sender man en skriftlig klage, som herved kan dokumenteres at være sendt, hvornår og til hvem eller også dropper man emnet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere