Stor fagforening og advokatfællesskab får kritik og påbud af Datatilsynet efter kontrolbesøg

Illustration: www.BillionPhotos.com | Bigstock
Udover kritikken var der også ros til et advokatselskab og et revisionsselskab for at overholde persondatareglerne.

Fire kontrolbesøg afslører, at Kristelig Kagforening og et unavngivet advokatfællesskab har uorden i persondatabeskyttelsen.

Værst ser det umiddelbart ud for Kristelig Fagforening (Krifa), der har overtrådt databeskyttelsesforordningens artikel 32.

Fagforeningen brugte nemlig personnummeret på den person, som e-mailen vedrører, som password til læsning af en e-mail, der er lagret på virksomhedens sikre webtjeneste til læsning af e-mail.

Derudover fremgår det af Datatilsynets udtalelse om besøget, at:

»Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i perioden 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold.«

Uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.

Advokatfællesskab for også kritik

Det er som sagt ikke kun Krifa, der har uorden i sagerne. Også et unavngivet advokatfællesskab har fået udtalt kritik:

»Kontorfællesskabet har ikke forud for tilsynsbesøget indført procedurer, der sikrer, at der anvendes kryptering på transportlaget via TLS til fremsendelse af fortrolige og følsomme personoplysninger til klienter mv. over internettet,« skriver Datatilsynet.

Derudover fremgår det af udtalelsen, at kontorfællesskabet ikke har »udarbejdet en risikovurdering, der tager stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet«.

Tilsynet oplyser dog, at kontorfællesskabet efter tilsynet har indført procedurer, der sikrer, at modtagerdomænets understøttelse af TLS undersøges forud for afsendelse af en e-mail, der indeholder fortrolige eller følsomme personoplysninger.

To gode eksempler

Udover de ovenstående tilfælde var tilsynet på besøg hos henholdsvis en anonym advokatvirksomhed og et anonymt, statsautoriseret revisorselskab, der efter Datatilsynets vurdering overholdt reglerne.

Du kan læse om besøget hos revisionsvirksomheden her og advokatselskabet her.

Tilsynene fokuserede på behandlingssikkerhed, herunder særligt kryptering af e-mails, jf. databeskyttelsesforordningens artikel 32.

Du kan læse Datatilsynets vejledning om kryptering af mails her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Tja.

På den ene side vil vi jo heller ikke kritisere politiet konkrete valg af kun at udstede påtaler (og ikke bøder) for børns manglende brug af cykellygter på skolestien.

Men på den anden side, så ville vi nok tillade os at være kritiske, hvis det var det eneste vi så til ordensmagten. Den kritik ville vi så forhåbentlig ikke rette imod den betjent, som trods alt står i morgenmørke og nedbør, men derimod rette den længere oppe i systemet; der, hvor rammer sættes, ressourcer allokeres og opgaver prioriteres.

  • 2
  • 0
Kjeld Flarup Christensen

have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold.

Bare lige for at spørge rigtigt dumt, hvis nogen modtager en krypteret mail fra Krifa, er det så helt forkert at antage, at de er medlemmer af Krifa.

Skal man så til at kryptere afsenderen også?

Uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.

Det lyder lidt som en dobbelt anmærkning.
Du er godt klar over at det der er en overtrædelse, det får du en anmærknink for.
Og så får du en mere for ikke at anmelde det som du ikke var klar over var en overtrædelse.

  • 1
  • 0
Christian Nobel

Bare lige for at spørge rigtigt dumt, hvis nogen modtager en krypteret mail fra Krifa, er det så helt forkert at antage, at de er medlemmer af Krifa.

Skal man så til at kryptere afsenderen også?

Nu skal man altså holde tungen lige i munden.

TLS betyder ikke at mailen er krypteret, kun transporten mellem de to mailservere.

Og så længe der ikke eksisterer en rigtig digital signatur her i landet er det noget man må kigge længe efter.

  • 1
  • 1
Log ind eller Opret konto for at kommentere