I den konkrete sag fra Datatilsynet havde BroBizz A/S inden for en periode på 2½ måned anmeldt tre sikkerhedsbrud, hvor medarbejdere i alle tre tilfælde havde videregivet personoplysninger om kunder til uvedkommende. Det gav naturligt nok tilsynet anledning til en nærmere undersøgelse, bl.a. af selskabets risikovurderinger.
Som bekendt er man forpligtet til at have et tilstrækkeligt sikkerhedsniveau og for at vide, hvad der er ”tilstrækkeligt”, er man nødt til løbende at lave nye risikovurderinger og følge op på eksisterende. I første omgang for at få fastlagt det overordnede sikkerhedsniveau og herefter for at sikre, at dette sikkerhedsniveau til stadighed er tilstrækkeligt. Det var ikke tilfældet hos BroBizz A/S.
BroBizz A/S havde angivet risikoen for at videregive kunders personoplysninger til uvedkommende til at være ”meget lille”, hvilket tilsynet med god grund ikke var enig i. Man havde derfor ikke kunnet iværksætte tilstrækkelige organisatoriske sikkerhedsforanstaltninger, da risikovurderingen ikke var retvisende. Datatilsynet bemærkede hertil, at BroBizz A/S’ eksisterende procedurer og instrukser til bl.a. at sikre den registreredes identitet, enten ikke var tilstrækkelige eller ikke var tilstrækkeligt kommunikeret ud til medarbejderne.
Datatilsynet lagde også vægt på, at der ikke var foretaget den nødvendige træning af medarbejdere om databeskyttelse, idet medarbejderne bl.a. kun havde deltaget i ét kursus siden 25. maj 2018 og derefter modtog uddannelse ad hoc.
Afgørelsen understreger først og fremmest vigtigheden af retvisende og løbende ajourførte risikovurderinger, og ikke mindst dokumentation for, hvad der har begrundet den konkrete risikovurdering. Datatilsynet bemærker også, at risikovurderingen ikke tog tilstrækkelig hensyn til risiciene for de registrerede. Det fremgik f.eks. af Brobizz A/S’ eksisterende risikovurdering, at konsekvensen ved et sikkerhedsbrud var, at ”kundeinfo oplyses til forkert kunde/ej kunde” – dette omhandler imidlertid ikke risiciene for de registreredes rettigheder, men beskriver alene hændelsen. Risici kan i stedet være identitetstyveri eller chikane og stalking.
Dernæst fremhæver afgørelsen, at sikkerhedsforanstaltninger ikke udelukkende handler om den tekniske del, som mange har fokus på, herunder automatiseret sletning, etablering af firewall og kryptering. Sikkerhed vedrører i den grad også den organisatoriske del (som da også ligeså udtrykkeligt fremgår af forordningen), herunder tilstrækkelige procedurer og retningslinjer samt uddannelse af medarbejdere og løbende awareness.
Læs hele afgørelsen her.
Med udgangspunkt i Brobizz-afgørelsen oplistes her nogle gode praktisk råd til overholdelse af kravene til risikovurderinger og sikkerhedsforanstaltninger;
Datatilsynets afgørelse kommer i kølvandet på en række andre afgørelser, hvor Datatilsynet har lagt vægt på risikovurderinger. Se bl.a. sagerne om Nemlig.com og Intervare A/S samt de fire tilsynssager vedr. kryptering af e-mails, som vi tidligere har omtalt i vores nyhedsbrev.
Se også vores artikel konkret om risikovurderinger her og vores artikel om, hvordan I bedst forberede jer på et tilsynsbesøg her.
Har du spørgsmål til emnet eller brug for rådgivning, står vores GDPR-team altid klar til at yde kvalificeret rådgivning.
Udlejers opsigelsesskrivelse – gør det rigtigt fra start!
Hvornår er rygning i et lejemål misligholdelse – og hvad kan udlejer gøre?
Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?