Ny rapport om GDPR: Danmark i top-3 over flest persondatabrud

22. januar 2020 kl. 09:198
Ny rapport om GDPR: Danmark i top-3 over flest persondatabrud
Illustration: Bigstock.
Kun Holland og Irland har haft flere meldte persondatabrud end Danmark i forhold til antallet af indbyggere.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Danmark ligger i toppen, når det gælder brud på persondatasikkerheden.

Det viser en ny rapport fra advokatfirmaet DLA Piper, der udkom i går.

Rapporten viser, at Danmark ligger på en tredjeplads, når det kommer til antallet af underretninger om brud på persondatasikkerheden pr. indbygger. Kun Holland og Irland ligger højere. For det samlede antal af underretninger siden maj 2018, hvor GDPR-lovgivningen fandt anvendelse, ender Danmark på en femteplads.

I alt modtog Datatilsynet i Danmark 9806 underretninger i perioden 25. maj 2018 til 27. januar 2020. Det svarer til lidt over 115 persondatabrud per 100.000 indbyggere.

Artiklen fortsætter efter annoncen

Men det betyder ifølge jurist og it-sikkerhedsspecialist i Datatilsynet, Allan Frank, ikke nødvendigvis, at Danmark er mere usikkert end de andre lande.

»For det første er Danmark et relativt digitaliseret land, hvilket vil sige, at meget af kommunikationen mellem borgere, virksomheder og myndigheder foregår digitalt. Og fire ud af fem af de brud, vi får underretninger om her i Danmark, vedrører mindre sager, hvor fx enkeltpersoners informationer sendes til den forkerte modtager - typisk på grund af menneskelige fejl,« lyder det fra Allan Frank i en pressemeddelelse fra Datatilsynet.

Og så er både den private og offentlige sektor i Danmark vant til at indberette brud på persondatasikkerheden til myndighederne, og fordi det er nemt og velkendt at indberette brud, mener Allan Frank, er det også med til, at Danmark optræder så højt oppe i statistikken.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Lars Christensen
10. februar 2020 kl. 16:15

Niels, du anfører, at du har spurgt Datatilsynet om de kan behandle klager vedr. DPO uafhængighed. Umiddelbart er det min holdning, at Datatilsynet ikke skal spørges om de vil behandle en klage. Enten sender man en skriftlig klage, som herved kan dokumenteres at være sendt, hvornår og til hvem eller også dropper man emnet.

  • more_vert
    • insert_linkKopier link
7
Niels Madsen
27. januar 2020 kl. 15:12

Thomas Leonardo Pedersen, Måske kan du sige noget om lovligheden af denne DPO praksis: I min kommune, Frederiksberg, sker der det, at når man skriver til DPO'en på den af kommunen offentliggjorte kontakt addresse til deres Databeskyttelsesrådgiver, så bliver emailen først modtaget af en chefkonsulent som er "Koordinator for GDPR og databeskyttelse" og ansat i "It og Digitalisering, Kommunaldirektørområdet" indenfor kommunen. Og først derefter vidresendes borgerens email til den rigtige, udpegede DPO, som er outsourcet til et revisionsfirma.

Når svaret fra DPO'en kommer tilbage, så går det igen igennem denne ansatte, som vidresender den til borgeren, og på en måde så man aldrig får DPO'en email address at se.

Ifølge afsnit 2.6 i "Retningslinjer for databeskyttelsesrådgivere",https://www.datatilsynet.dk/media/6837/databeskyttelsesraadgivere-dpo-er-wp243.pdffremgår det at:

"Offentliggørelse og meddelelse om databeskyttelsesrådgiverens kontaktoplysninger Artikel 37, stk. 7, i databeskyttelsesforordningen kræver, at den dataansvarslige eller databehandleren: offentliggør databeskyttelsesrådgiverens kontaktoplysninger meddeler databeskyttelsesrådgiverens kontaktoplysninger til de relevante tilsynsmyndigheder. Formålet med disse krav er at sikre, at de registrerede (både i og uden for organisationen) og tilsynsmyndighederne nemt og direkte kan kontakte databeskyttelsesrådgiveren uden at behøve kontakte nogen anden del af organisationen. Fortrolighed er et lige så vigtigt punkt: For eksempel kan medarbejdere være tilbageholdende med at klage til databeskyttelsesrådgiveren, hvis fortroligheden i deres kommunikation ikke er sikret."

Jeg har sprugt Datatilsynet om de kan behandle klager vedr. en DPO's uafhængighed, med tilsynet siger at det er uden for deres område.

Måske nogen her har et bud på hvor man så kan henvende sig. Jeg har endnu ikke modtaget noget svar fra kommunen vedr. dette problem.

  • more_vert
    • insert_linkKopier link
6
Lars Christensen
27. januar 2020 kl. 14:55

Fremfor at kende antallet af anmeldelser, ville antallet af afgørelser være langt mere retvisende. Dette survey ligner lidt opgørelsen af hvem der har det største affaldsproblem af alle lande, hvor DK ligger i top jvf. hvor meget affald der samles ind - det er lige så bagvendt som GDPR opgørelsen

  • more_vert
    • insert_linkKopier link
5
Thomas Leonardo Pedersen
24. januar 2020 kl. 12:46

I vores arbejde med at udbrede kendskabet til mit firmas GDPR videoplatform VideoTool SECURE, ringer vi rundt til kommuner og styrelser mf.. Det er jo salgsarbejde vi laver, men når vi snakker med de ansvarlige på de respektive arbejdspladser, bliver vi nogle gange nødt til at rive os selv i håret efterfølgende. Vores løsning er IT revideret og ISAE 3000 certificeret. Der er sikret App til og 2-faktor login mm. Alt er på danske servere mm. Nogle af de kommuner vi snakke med er helt i top hvad angår compliance, og tager det enormt alvorligt, og så møder vi andre, hvor deres DPOer (eller mangel på samme) kan sige at "videooptagelse med personfølsomme data, det lader vi medarbejderne selv finde løsninger på" underforstået at der benyttes Dropbox, WeTransfoer, Office 365 og sågar YouTube. I mit hoved giver det ingen mening at der ikke i KL eller fra Datatilsynets side, er udarbejde fælles retningslinjer for hvordan offentlige myndigheder skal håndtere dette problem. Fælles standarder og måske guide myndighederne - og private institutioner i hvordan man overholder GDPR. Gerne med forslag til konkret anvendelse af godkendte værktøjer og softwareløsninge. Det er ikke nok at sende dem forordningen til gennemlæsning og egen fortolkning.

  • more_vert
    • insert_linkKopier link
4
Peter Stricker
22. januar 2020 kl. 22:30

Hurra, vi er førende indenfor IT!

  • more_vert
    • insert_linkKopier link
3
Niels Madsen
22. januar 2020 kl. 13:02

Datatilsynet er angiveligt en uafhængigt tilsynsmyndighed, og består af Datarådet og dets sekretariat.

Men en interessant detalje er at alle Datarådets medlemmer udpeges af Justitsministeren, pånær to. De sidte to udpeges af Erhvervsministeren.

Alle rådets medlemmer skal i øvrigt sikkerhedsgodkendes, hvilket nok kan give en vis mening, da de kan få indsigt i følsomme data, men dette kan nok også udelukke mange som offentligt måtte have ytret afvigende holdninger om borgernes rettigheder i forhold til statens.

  • more_vert
    • insert_linkKopier link
2
Knud Larsen
22. januar 2020 kl. 12:01

er der naturligvis færre overtrædelser. Så jo Danmark har en alvorlig udfordring!

  • more_vert
    • insert_linkKopier link
1
Søren Weber
22. januar 2020 kl. 10:47

...ville være: "Ny rapport om GDPR: Danmark i top tre over flest rapporterede persondatabrud"

Og det er jo godt og/eller skidt :-()

  • more_vert
    • insert_linkKopier link