Fire kontrolbesøg afslører, at Kristelig Kagforening og et unavngivet advokatfællesskab har uorden i persondatabeskyttelsen.
Værst ser det umiddelbart ud for Kristelig Fagforening (Krifa), der har overtrådt databeskyttelsesforordningens artikel 32.
Fagforeningen brugte nemlig personnummeret på den person, som e-mailen vedrører, som password til læsning af en e-mail, der er lagret på virksomhedens sikre webtjeneste til læsning af e-mail.
Derudover fremgår det af Datatilsynets udtalelse om besøget, at:
»Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i perioden 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold.«
Uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.
Advokatfællesskab for også kritik
Det er som sagt ikke kun Krifa, der har uorden i sagerne. Også et unavngivet advokatfællesskab har fået udtalt kritik:
»Kontorfællesskabet har ikke forud for tilsynsbesøget indført procedurer, der sikrer, at der anvendes kryptering på transportlaget via TLS til fremsendelse af fortrolige og følsomme personoplysninger til klienter mv. over internettet,« skriver Datatilsynet.
Derudover fremgår det af udtalelsen, at kontorfællesskabet ikke har »udarbejdet en risikovurdering, der tager stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet«.
Tilsynet oplyser dog, at kontorfællesskabet efter tilsynet har indført procedurer, der sikrer, at modtagerdomænets understøttelse af TLS undersøges forud for afsendelse af en e-mail, der indeholder fortrolige eller følsomme personoplysninger.
To gode eksempler
Udover de ovenstående tilfælde var tilsynet på besøg hos henholdsvis en anonym advokatvirksomhed og et anonymt, statsautoriseret revisorselskab, der efter Datatilsynets vurdering overholdt reglerne.
Du kan læse om besøget hos revisionsvirksomheden her og advokatselskabet her.
Tilsynene fokuserede på behandlingssikkerhed, herunder særligt kryptering af e-mails, jf. databeskyttelsesforordningens artikel 32.
Du kan læse Datatilsynets vejledning om kryptering af mails her