Røffel til ISS fra Datatilsynet for manglende overholdelse af databehandlerkrav

Illustration: Copyright ISS World Services A/S
ISS får bl.a. behandlet persondata hos en underleverandør uden indgåelse af databehandleraftale. Det går ikke, og Datatilsynet kritiserer nu.

Opdateret kl. 22.01 med kommentar fra ISS World Services.
Facility service-virksomheden ISS World Services A/S - i folkemunde kendt som rengøringsfirmaet ISS - har fået en røffel fra Datatilsynet for ikke at overholde reglerne for indgåelse af databehandleraftale med milliardkoncernens underleverandører.

Ligeledes har ISS forsømt at udarbejde gode nok retningslinjer for tilsyn med de sikkerhedsforanstaltninger, der er fastsat for virksomheden.

Det er et brud på Persondataloven, hvilket Datatilsynet samlet set ifølge en ny afgørelse finder »meget beklageligt«.

Ups - der mangler en databehandleraftale

ISS har siden 2012 anvendt Got Ethics A/S som databehandler og siden 2016 Filoo GmbH som underdatabehandler i forbindelse med virksomhedens whistleblowerordning.

Der er ifølge ISS indgået en skriftlig databehandleraftale med Got Ethics A/S.

Problemet er bare, at ISS fremsendte en databehandleraftale til Datatilsynet, som var usigneret og udateret.

Ganske vist sendte ISS på opfordring fra Datatilsynet efterfølgende en udgave med underskrift og dato, men tilsynet konkluderer alligevel, at »ISS ikke har levet op til persondatalovens krav om indgåelse af en databehandleraftale«.

Hvad man må opfatte som værre er, at ISS slet ikke har indgået en databehandleraftale med underdatabehandleren Filoo GmbH, hvilket selskabet skal ifølge persondataloven.

Utilstrækkelige tilsynsregler

Kritikken stopper ikke her. I forhold til ISS' eget tilsyn med datasikkerheden med en whistleblowerordning i ISS konkluderer Datatilsynet, at retningslinjerne for dette tilsyn ikke er tilstrækkelige. Dette forhold får også kritik.

ISS har ikke »fastsat fornødne retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden,« lyder det.

Whistleblowerordningen indebærer behandling af følsomme personoplysninger, og derfor har tilsynet fastlagt nogle sikkerhedsregler, der dog ikke er nærmere beskrevet i afgørelsen.

Det er ISS' egne interne regler for eget tilsyn hermed, der kritiseres. Det fremgår nemlig ikke, om de interne regler sikrer, at man kontrollerer overholdelsen af sikkerhedsforanstaltningerne.

ISS Group General Counsel Bjørn Raasteen har sendt følgende kommentar til Version2 onsdag aften:

»Med næsten 500.000 medarbejdere er behandlingen af persondata og sikkerhed omkring persondata meget vigtigt for ISS, og det er et område, vi har konstant fokus på. Sikkerheden og integriteten i vores systemer, som indeholder personfølsomt data, er afgørende for ISS. Det gør sig således også gældende for ISS’ whistleblowerordning, som vi etablerede i 2012 efter godkendelse fra Datatilsynet.«

I 2016 anmodede Datatilsynet ifølge ham ISS og en række andre danske virksomheder med tilsvarende whistleblowerordninger om en række informationer omkring disse ordninger.

»Vi har samarbejdet med Datatilsynet om de efterspurgte informationer.«

»Den 8. maj 2018 modtog vi en udtalelse fra Datatilsynet, hvori Datatilsynet kritiserer ISS på to punkter. I forhold til disse punkter er der en række forhold, herunder faktiske, som vi ikke kan genkende. Vi vil derfor vende tilbage til Datatilsynet indenfor den berammede tidsfrist på fire uger med vores redegørelse og kommentarer.«

ISS har som angivet fire uger til at forholde sig til kritikpunkterne og vende tilbage med en redegørelse til Datatilsynet.

Desuden skriver Datatilsynet, at man forventer, at ISS med GDPR's ikrafttræden den 25. maj får styr på selskabets databehandleraftaler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Sørensen

... “Problemet er bare, at ISS fremsendte en databehandleraftale til Datatilsynet, som var usigneret og udateret.“ ...

Uha, det er da godt, at vi har Datatilsynet til at komme og tjekke, om der er dato og underskrift på dokumenterne ...

DET ER MINE SKATTEPENGE .... og dine, der bliver brugt, på den slags pjat.

Selvfølgelig skal der da være underskrift og dato på dokumenter, men må jeg ikke i stedet høre, hvilke konkrete aktiviteter Datatilsynet foretog for at sikre sig, at virksomheden faktisk beskytter sine kundedata tilstrækkeligt?

Foretog de en penetrationstest med så kort varsel, at den gav et retvisende billede af sikkerheden?

Foretog de en uanmeldt inspektion på den fysiske lokation, for at finde sløset omgang med persondata?

Foretog de en faktisk undersøgelse af virksomhedens logfiler, for at sikre, at adgang til persondata er logget korrekt?

... jeg ved det ikke, for jeg var der ikke, men jeg tror ikke at mit gæt på et NEJ er helt forkert. Nej, Nej og Nej!

. ... for hele det cirkus, der er bygget op omkring it-sikkerhed, er blot kæmpe papirtiger, som beskæftiger utallige mennesker på begge sider af midtergangen, mens dem der kæmper den faktiske daglige kamp er få ... det er nemlig vigtigere, at tjekke om dokumenter har datoer, end at kigge ned i maskinen og få olie på fingrene.

Udfordringen er, at hackere og andre med ond vilje, er fløjtende ligeglade med datoer og underskrifter, så længe de blot kan skaffe sig adgang til data ... og det er jo heldigvis noget lettere at gøre, når it-chefen, CISO’en, den juridiske afdeling og myndighederne, samt de involverede teknisk kyndige, er optagede af at kigge efter datoer og underskrifter ...

... vi lader lige tanken stå et øjeblik

  • 1
  • 1
Hans Nielsen

Til efter den 24 maj 2018.

Da Danmark sikkert er tilsyns land for ISS , så får vi bøden.
Så der ligger en gavecheck på 3.2 Milliarder og venter.

Det kan man vel godt bruge lidt mandetimer og få lidt olie på fingrene for.

  • 0
  • 0
Log ind eller Opret konto for at kommentere