Videregav fortrolig whistleblower-data: Finanstilsynet får alvorlig GDPR-kritik

17. maj kl. 10:395
Hviske
Illustration: Andrey Popov/Bigstock.
Datatilsynet giver Finanstilsynet alvorlig kritik for at sjuske med håndteringen af en whistleblowers mailadresse. Myndigheden manglede ordentlige retningslinjer for, hvordan sagsbehandlere skal strege fortrolige oplysninger i dokumenter, der udleveres i forbindelse med aktindsigt.
Artiklen er ældre end 30 dage

Finanstilsynet har fået alvorlig kritik af Datatilsynet, efter man har delt fortrolige oplysninger om en whistleblower med en journalist.

Det skriver tilsynet på sin hjemmeside.

I 2020 søgte journalisten aktindsigt hos Finanstilsynet i de henvendelser om god skik for finansielle virksomheder, myndigheden havde modtaget gennem sin whistleblowerordning i 2019 og 2020.

Den 31. maj modtog journalisten materialet, der indeholdt overstregning af passager, som kunne identificere whistleblowerne. Men da journalisten holdte sin mussemarkør henover den sortmalede tekst, dukkede whistleblowernes mailadresser op.

Artiklen fortsætter efter annoncen

Journalisten tog kontakt til en whistleblower, der den 6. juni skrev til Finanstilsynet og fortalte om mailen. Herefter undersøgte tilsynet materialet og fandt, at journalisten kunne finde mailadresser på syv whistleblowere, fordi de fortrolige oplysninger ikke var streget ordentligt.

Årsagen til bruddet er blandt andet, at Finanstilsynet arbejdsbeskrivelse til sagsbehandlerne ikke var god nok, skriver Datatilsynet. I et afsnit stod der:

»Ekstraheringen af oplysninger vil i praksis ske ved, at man som sagsbehandler overstreger alt det, som ikke er omfattet af ekstraheringspligten.«

Den beskrivelse skal ses i sammenhæng med en sidemandsoplæring, hvor sagsbehandlerne lærer at overstrege med tusch og indscanne dokumenterne eller erstatte fortrolige passager med x’er. 

Ifølge Finanstilsynet skulle sagens konkrete dokumenter være indscannet som pdf-filer, så journalisten ikke kunne finde whistleblowernes mailadresser ved at holde mussemarkøren over den sortmalede tekst.

Høj risiko for whistleblowere

Ifølge Datatilsynet skulle der have været bedre sikkerhedsforanstaltninger til at beskytte borgere mod brud på persondatasikkerheden:

»Datatilsynet har herudover særligt lagt vægt på, at risikoen for den registreredes rettigheder generelt må anses for højere, når oplysningerne stammer fra en whistleblower-ordning, ligesom Datatilsynet konstaterede, at det er en alment kendt del af funktionaliteten i programmer, der teknisk bliver brugt til overstregning, at metadataoplysninger eller underliggende lag af oplysninger kan findes efter overstregning,« skriver tilsynet i en nyhed.

Datatilsynet oplyser i afgørelsen, at den lange sagsbehandlingstid har gjort Finanstilsynets sanktioner mildere.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
18. maj kl. 15:21

Men alvorlig kritik - hvad hjælper det? Hvor er bøden, altså straffen.

4
18. maj kl. 11:15

Datatilsynet oplyser i afgørelsen, at den lange sagsbehandlingstid har gjort Finanstilsynets sanktioner mildere.

Øhhh, hvad??!? Mildere straf fordi det tog Datatilsynet 2 år at afgøre, hvad der lyder som en utroligt simpel sag?

Jeg ved ikke om den lange sagsbehandlingstid eller den manglende konsekvens er den største skandale her, men noget (ikke bare én ting) er helt galt...

2
18. maj kl. 00:58

Word-fil konverteret til pdf, men ikke sanitized?

3
18. maj kl. 07:05

Word-fil konverteret til pdf, men ikke sanitized?

Problemet er vidst, at "overstregning" i en pdf ikke fjerner teksten!

1
17. maj kl. 14:10

Ifølge Finanstilsynet skulle sagens konkrete dokumenter være indscannet som pdf-filer, så journalisten ikke kunne finde whistleblowernes mailadresser ved at holde mussemarkøren over den sortmalede tekst.

Den metode ville virke, men at oplysningen kommer fra Finanstilsynet er overraskende. Ved Datatilsynet ikke den slags - eller var det "overstreget" i deres pdf-udgave af manualen?