Ny afgørelse om risikovurderinger og uddannelse af medarbejdere

Fra Focus Advokaters GDPR-team, maj 2020

Datatilsynet udtaler igen kritik af mangelfulde risikovurderinger og understreger samtidig, at der skal foretages løbende uddannelse af medarbejdere for at sikre, at de er bekendte med – og efterlever – virksomhedens interne retningslinjer og procedurer.

Utilstrækkelig organisatorisk sikkerhed

I den konkrete sag fra Datatilsynet havde BroBizz A/S inden for en periode på 2½ måned anmeldt tre sikkerhedsbrud, hvor medarbejdere i alle tre tilfælde havde videregivet personoplysninger om kunder til uvedkommende. Det gav naturligt nok tilsynet anledning til en nærmere undersøgelse, bl.a. af selskabets risikovurderinger.

Som bekendt er man forpligtet til at have et tilstrækkeligt sikkerhedsniveau og for at vide, hvad der er ”tilstrækkeligt”, er man nødt til løbende at lave nye risikovurderinger og følge op på eksisterende. I første omgang for at få fastlagt det overordnede sikkerhedsniveau og herefter for at sikre, at dette sikkerhedsniveau til stadighed er tilstrækkeligt. Det var ikke tilfældet hos BroBizz A/S.

BroBizz A/S havde angivet risikoen for at videregive kunders personoplysninger til uvedkommende til at være ”meget lille”, hvilket tilsynet med god grund ikke var enig i. Man havde derfor ikke kunnet iværksætte tilstrækkelige organisatoriske sikkerhedsforanstaltninger, da risikovurderingen ikke var retvisende. Datatilsynet bemærkede hertil, at BroBizz A/S’ eksisterende procedurer og instrukser til bl.a. at sikre den registreredes identitet, enten ikke var tilstrækkelige eller ikke var tilstrækkeligt kommunikeret ud til medarbejderne.

Datatilsynet lagde også vægt på, at der ikke var foretaget den nødvendige træning af medarbejdere om databeskyttelse, idet medarbejderne bl.a. kun havde deltaget i ét kursus siden 25. maj 2018 og derefter modtog uddannelse ad hoc.

Afgørelsen understreger først og fremmest vigtigheden af retvisende og løbende ajourførte risikovurderinger, og ikke mindst dokumentation for, hvad der har begrundet den konkrete risikovurdering. Datatilsynet bemærker også, at risikovurderingen ikke tog tilstrækkelig hensyn til risiciene for de registrerede. Det fremgik f.eks. af Brobizz A/S’ eksisterende risikovurdering, at konsekvensen ved et sikkerhedsbrud var, at ”kundeinfo oplyses til forkert kunde/ej kunde” – dette omhandler imidlertid ikke risiciene for de registreredes rettigheder, men beskriver alene hændelsen. Risici kan i stedet være identitetstyveri eller chikane og stalking.

Dernæst fremhæver afgørelsen, at sikkerhedsforanstaltninger ikke udelukkende handler om den tekniske del, som mange har fokus på, herunder automatiseret sletning, etablering af firewall og kryptering. Sikkerhed vedrører i den grad også den organisatoriske del (som da også ligeså udtrykkeligt fremgår af forordningen), herunder tilstrækkelige procedurer og retningslinjer samt uddannelse af medarbejdere og løbende awareness.

Læs hele afgørelsen her.

Focus Advokater anbefaler

Med udgangspunkt i Brobizz-afgørelsen oplistes her nogle gode praktisk råd til overholdelse af kravene til risikovurderinger og sikkerhedsforanstaltninger;

Lav løbende risikovurderinger – hvad der var et tilstrækkeligt sikkerhedsniveau for to år siden, er det ikke nødvendigvis stadigvæk. Husk at dokumentere opfølgningen og de beslutninger, der træffes her ud fra, også selvom sikkerhedsniveauet fastholdes.
Husk i jeres risikovurdering at beskrive de faktiske risici for de registrerede (kunder, medarbejder mv.) og ikke bare en beskrivelse af hændelsen. Kun ved at gøre dette, kan I iværksætte relevante sikkerhedsforanstaltninger til at nedbringe identificerede risici.
Sørg altid for at beskrive, hvorfor I vælger at sætte en risiko til f.eks. 2 på sandsynlighedsscoren og 1 på konsekvensscoren i risikovurderingen, da I skal kunne påvise, hvordan I er nået frem til netop den vurdering.
Awareness, awareness, awareness! Uddan løbende jeres medarbejdere i, hvordan de skal arbejde sikkert med personoplysninger, særligt hvis medarbejderne har direkte kundekontakt.
Følg op og tag de nødvendige konsekvenser af et sikkerhedsbrud! Hvorfor skete bruddet? Hvordan hindrer vi, at det sker igen? Er der behov for at revidere interne retningslinjer og procedurer? Det er ikke bare en god ide, men faktisk en direkte forpligtelse efter forordningens artikel 33.

Datatilsynets afgørelse kommer i kølvandet på en række andre afgørelser, hvor Datatilsynet har lagt vægt på risikovurderinger. Se bl.a. sagerne om Nemlig.com og Intervare A/S samt de fire tilsynssager vedr. kryptering af e-mails, som vi tidligere har omtalt i vores nyhedsbrev.

Se også vores artikel konkret om risikovurderinger her og vores artikel om, hvordan I bedst forberede jer på et tilsynsbesøg her.

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores GDPR-team altid klar til at yde kvalificeret rådgivning.

Jesper Krag

Advokat Læs mere

Nyheder

2.4.2024 | Lejeforhold

Udlejers opsigelsesskrivelse – gør det rigtigt fra start!
1.4.2024 | Lejeforhold

Hvornår er rygning i et lejemål misligholdelse – og hvad kan udlejer gøre?
15.3.2024

Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?

Se flere nyheder

Arrangementer

22.5.2024

Bliv klar til tilsyn - GDPR og TV-overvågning hos udlejere i søgelyset
15.5.2024

Proceskursus del 5 - Afhøringsteknikker
2.5.2024

Arbejdsmarkedsforhold - ansættelsesvilkår og ledelse af mange generationer

Se flere arrangementer

ODENSE

Cortex Park Vest 3
5230 Odense M
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

SVENDBORG

Det Gule Pakhus
Havnepladsen 3A
5700 Svendborg
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

KOLDING

Toldbodgade 10,4
6000 Kolding
Tel +45 75 71 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

KØBENHAVN

Amaliegade 40 B, 2.
1256 København K
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

HAMBORG

Dänische Advokaten
Grimm 8
D-20457 Hamburg
Tel +49 40 24 91 92
Fax +49 40 24 04 09
mail@daenische-advokaten.de
PR 935