Tilsyn med anmeldelse af brud på persondatasikkerheden: Aalborg Universitet

Dato: 08-12-2020

I tilsynet med Aalborg Universitet konkluderer Datatilsynet, at Aalborg Universitets behandling af personoplysninger overordnet set er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningen. Dog udtales der kritik af, at Aalborg Universitets dokumentation ikke har været tilstrækkelig i forbindelse med sikkerhedshændelser, der involverede tyveri af IT-udstyr.
 

Journalnummer: 2019-421-0032

Resume

Datatilsynet har i november 2020 afsluttet 15 planlagte tilsyn, der skulle belyse de dataansvarliges evne til at foretage de relevante anmeldelser af brud på persondatasikkerheden. Generelt har det været glædeligt at kunne konstatere, at alle de undersøgte dataansvarlige har haft fokus på opgaven, hvor der i de respektive organisationer var den fornødne viden og rutine, sådan at sikkerhedshændelser blev opfanget og indberettet.

Der er udtalt kritik i to af sagerne: Begge hændelser var anmeldelsespligtige brud på persondatasikkerheden, der alene var klassificeret som sikkerhedshændelser. Den konkrete vurdering af, om der var tale om en behandling af oplysninger om fysiske personer, var ikke foretaget korrekt af den pågældende aktør.

Aalborg Universitet var blandt de offentlige myndigheder, som Datatilsynet i foråret 2019 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som navnlig fokuserede på, om Aalborg Universitet foretager anmeldelse af brud på persondatasikkerheden i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, og om universitetet opfylder kravet om at dokumentere alle brud på persondatasikkerheden, jf. artikel 33, stk. 5.

Aalborg Universitet har endvidere i forbindelse med tilsynet efter anmodning fra Datatilsynet generelt redegjort for universitetets uddannelse af medarbejdere – i forhold til håndteringen af brud på persondatasikkerheden – med henblik på, at universitetet kan iagttage databeskyttelsesforordningens artikel 33.

Datatilsynets tilsyn blev ved brev af 11. marts 2019 varslet over for Aalborg Universitet, og universitetet blev ved samme lejlighed anmodet om bl.a. at besvare en række spørgsmål.

Ved brev af 14. marts 2019 sendte Aalborg Universitet en udtalelse, hvor universitetet i tilknytning til svarene på Datatilsynets spørgsmål sendte dokumentation (i form af flere dokumenter), der belyser alle registrerede informationssikkerhedshændelser, herunder alle registrerede brud på persondatasikkerheden som er anmeldt til Datatilsynet i perioden fra 25. maj 2018 til og med 8. marts 2019. Aalborg Universitets svar var endvidere vedlagt en række andre dokumenter, herunder universitets informationssikkerhedspolitik, procedurebeskrivelser og skabeloner, som universitetet anvender for at efterleve artikel 33 i databeskyttelsesforordningen.

1. Afgørelse

Efter tilsynet med Aalborg Universitet finder Datatilsynet anledning til sammenfattende at konkludere, at Aalborg Universitets behandling af personoplysninger overordnet set er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33.

Efter Datatilsynets opfattelse har Aalborg Universitet således iværksat de foranstaltninger, der er nødvendige for at kunne overholde kravene i databeskyttelsesforordningens artikel 33, stk. 1, og derved sikre, at brud på persondatasikkerheden opfanges i organisationen og registreres, sådan at disse altid bliver vurderet med henblik på om bruddet skal anmeldes til Datatilsynet.

Datatilsynet finder dog, at der er grundlag for at udtale kritik af, at Aalborg Universitets dokumentation i forbindelse med de sikkerhedshændelser, som involverede tyveri af IT-udstyr, ikke har været tilstrækkelig, jf. databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet har her lagt vægt på, at det ikke har været muligt for tilsynet – ud fra den fremsendte dokumentation – at vurdere, hvorvidt der er tale om sikkerhedshændelser, som burde havde været anmeldt til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1, herunder mangler det særligt om der på udstyret var opbevaret oplysninger om fysiske personer.

Herudover finder Datatilsynet dog, at Aalborg Universitet ellers – samlet set – har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Det er herudover Datatilsynets vurdering, at Aalborg Universitet har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden.

Det fremgår endvidere af sagen, at Aalborg Universitet har iværksat forskellige aktiviteter med henblik på at uddanne og informere medarbejdere om databeskyttelse, herunder om håndteringen af brud på persondatasikkerheden.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.

2. Anmeldelse af brud på persondatasikkerheden

Et brud på persondatasikkerheden er i databeskyttelsesforordningens artikel 4, nr. 12, defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Det følger endvidere af databeskyttelsesforordningens artikel 33, stk. 1, at ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden anmelde dette til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, skal den ledsages af en begrundelse for forsinkelsen.

Aalborg Universitet har i universitetets udtalelse af 14. marts 2019 til Datatilsynet oplyst, at der i perioden fra 25. maj 2018 til og med 8. marts 2019 er registreret i alt 102 informationssikkerhedshændelser på universitetet. Ifølge Aalborg Universitet er 75 af disse informationssikkerhedshændelser ”rene” informationssikkerhedshændelser, som efter universitetets vurdering ikke kan betegnes som brud på persondatasikkerheden, og det er således alene 27 hændelser, som Aalborg Universitet har kategoriseret som egentlige brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12. Ud af de 27  brud har Aalborg Universitet anmeldt de otte til Datatilsynet, og i 19 resterende tilfælde har universitetet vurderet, at der ikke var pligt til at anmelde bruddet til Datatilsynet. Aalborg Universitet har endvidere medsendt en oversigt der belyser 63 hændelser, som universitetet har karakteriseret som it-driftshændelsesbrud.

Datatilsynet har ved tilsynet taget stilling til, hvorvidt Aalborg Universitet har levet op til kravet om, at alle relevante brud på persondatasikkerheden er blevet anmeldt til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1.

For så vidt angår de 75 hændelser, som af Aalborg Universitet er kategoriseret som ”rene” informationssikkerhedshændelser, har Datatilsynet i de tilfælde, der omfatter tyveri af en computer eller en mobiltelefon vurderet, at der er uklart om disse informationssikkerhedshændelser har karakter af at være brud på persondatasikkerheden, og derfor burde have været registreret og håndteret som sådan.

Hvad angår de resterende informationssikkerhedshændelser og de 63 it-driftshændelser har Datatilsynet ikke fundet grundlag for at tilsidesætte universitetets vurdering af, at de pågældende hændelser ikke har karakter af brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

For så vidt angår de resterende 27 hændelser, har Datatilsynet, modtaget otte heraf som anmeldelser af brud på persondatasikkerheden. For de 19 hændelser, der af Aalborg Universitet er kategoriseret som brud på persondatasikkerheden, men som ikke er anmeldt til Datatilsynet, kan tilsynet tilslutte sig universitetets vurdering af, at de pågældende hændelser kan karakteriseres som brud på persondatasikkerheden, jf. databeskyttelsesordningens artikel 4, nr. 12, men at disse ikke er omfattet af pligten til at foretage anmeldelse. Datatilsynet har i den forbindelse vurderet, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1.

Samlet set har Datatilsynet derfor ikke fundet grundlag for at konkludere, at Aalborg Universitet har registreret informationssikkerhedshændelser, herunder brud på persondatasikkerheden, som burde have været anmeldt til Datatilsynet, men som ikke er blevet det. Datatilsynets skal dog indskærpe, at tyveri af computere og andet udstyr hvorpå der opbevares oplysninger om fysiske personer, er omfattet af definitionen i databeskyttelsesordningens artikel 4, nr. 12, men at der ved fornøden kryptering eller anden effektiv sikring af, at oplysningerne ikke kan tilgås, kan konstateres, at det er usandsynligt at der det indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1. Da der oftest lagres oplysninger om fysiske personer i e-mail, billeder eller andre opbevarede filer samt som brugeroplysninger, er det Datatilsynets opfattelse, at der når dette ikke er tilfældet, skal fremgår af dokumentationen for  vurderingen af den pågældende hændelse.

3. Dokumentation af brud på persondatasikkerheden

Ifølge databeskyttelsesforordningens artikel 33, stk. 5, skal den dataansvarlige dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden (Datatilsynet) i stand til at kontrollere, at bestemmelsen er overholdt.

Det bemærkes, at der stilles ikke specifikke formkrav til dokumentationen, og den dataansvarlige kan derfor selv beslutte, hvordan oplysningerne skal indsamles, og hvordan de skal præsenteres. Dokumentationen skal imidlertid i alle tilfælde indeholde en række informationer, jf. bestemmelsens ordlyd ovenfor. I Datatilsynets vejledning fra februar 2018 om håndtering af brud på persondatasikkerheden er på side 27 anført, at kravene til dokumentation kan opstilles således:

  • Dato og tidspunkt for bruddet
  • Hvad skete der i forbindelse med bruddet?
  • Hvad er årsagen til bruddet?
  • Hvilke (typer) personoplysninger er omfattet af bruddet?
  • Hvilke konsekvenser har bruddet for de berørte personer?
  • Hvilke afhjælpende foranstaltninger er truffet?
  • Hvorvidt – og i givet fald hvordan – der er sket anmeldelse til Datatilsynet? Hvorfor/Hvorfor ikke?

Den dataansvarlige bør således dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige, efter at have vurderet bruddet, er nået frem til, at det ikke skal anmeldes til Datatilsynet.

De 27 brud på persondatassikkerheden, som Aalborg Universitet i forbindelse med tilsynet har fremsendt materiale om, fremgår af en separat liste. Listen opregner de otte brud, der er anmeldt til Datatilsynet, og der er angivet oplysninger om de 19 brud, hvor der ikke er sket anmeldelse. 

Vedrørende informationssikkerhedshændelserne, der omfatter tyveri af en computer eller en mobiltelefon, er det Datatilsynets opfattelse, at disse hændelser – såfremt der var oplysninger om fysiske personer på de pågældende computere – burde fremgå af Aalborg Universitets 33 stk. 5 liste med det resultat, at det vil være angivet, hvorfor hændelsen ikke skal anmeldes. Tilsynet ville i så fald have været i stand til at kontrollere hvorvidt anmeldelsespligten jf.  databeskyttelsesforordningens artikel 33, stk. 1, er overholdt.

Det er – efter gennemgang af alt det pågældende materiale – Datatilsynets vurdering, at universitetet samlet set har tilvejebragt den påkrævede dokumentation uagtet, at Datatilsynet ikke har været i stand til at kontrollere, om de nævnte informationssikkerhedshændelser er egentlige brud på persondatasikkerheden.

På den baggrund, er det Datatilsynets vurdering, at Aalborg Universitet samlet set har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet har i øvrigt gennemgået Aalborg Universitets egen dokumentation for de 19 brud på personsikkerheden, som ikke er anmeldt til Datatilsynet. Tilsynet kan i den forbindelse konstatere, at universitetet har beskrevet de faktiske omstændigheder ved bruddet og angivet en begrundelse for, hvorfor bruddet ikke blev anmeldt til Datatilsynet. Datatilsynet har vurderet, at omfanget af den angivne dokumentation har været tilstrækkelig til, at tilsynet har kunnet konkludere, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. forordningens artikel 33, stk. 1.

4. Uddannelse af medarbejdere

Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.

Heraf kan bl.a. udledes krav om, at den dataansvarlige skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af brud på persondatasikkerheden, at visse relevante medarbejdere kan identificere og vurdere brud på persondatasikkerheden, herudover er det en nødvendighed for at organisationen som helhed i øvrigt er i stand til at understøtte forpligtelsen til at foretage indberetninger mv. i medfør af databeskyttelsesforordningens artikel 33.

Datatilsynet har noteret sig, at Aalborg Universitet har udarbejdet retningslinjer for persondata og gennemført en række aktiviteter med henblik på at uddanne medarbejdere i databeskyttelse, herunder med henblik på at medarbejdere vil kunne identificere og eventuelt håndtere brud på persondatasikkerheden.

Uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og uagtet at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder af indholdet af f.eks. e-læringskurset, er det tilsynets vurdering, at Aalborg Universitet har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden.

5. Sammenfatning

Efter tilsynet med Aalborg Universitet finder Datatilsynet anledning til sammenfattende at konkludere, at Aalborg Universitets behandling af personoplysninger overordnet set er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33.

Efter Datatilsynets opfattelse har Aalborg Universitet således iværksat de foranstaltninger, der er nødvendige for at kunne overholde kravene i databeskyttelsesforordningens artikel 33, stk. 1, og derved sikre, at brud på persondatasikkerheden opfanges i organisationen og registreres, sådan at disse altid bliver vurderet med henblik på om bruddet skal anmeldes til Datatilsynet.

Datatilsynet finder dog, at der er grundlag for at udtale kritik af, at Aalborg Universitets dokumentation i forbindelse med de sikkerhedshændelser, som involverede tyveri af IT-udstyr, ikke har været tilstrækkelig, jf. databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet har her lagt vægt på, at det ikke har været muligt for tilsynet – ud fra den fremsendte dokumentation – at vurdere, hvorvidt der er tale om sikkerhedshændelser, som burde havde været anmeldt til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1, herunder mangler det særligt om der på udstyret var opbevaret oplysninger om fysiske personer.

Herudover finder Datatilsynet dog, at Aalborg Universitet ellers – samlet set – har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Det er herudover Datatilsynets vurdering, at Aalborg Universitet har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden.

6. Afslutning

Datatilsynet bemærker, at tilsynets afgørelse ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30.

Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)