Journalnummer: 2021-441-9356.
Datatilsynet vender hermed tilbage til sagen, hvor Coop Danmark A/S den 12. juni 2021 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
bf3548a01674bfdb09e5472d3c1cbf776494b2fd.
Coop Danmark A/S indsendte herefter den 3. september 2021 en opfølgende anmeldelse og fremkom efter Datatilsynets anmodning den 8. oktober 2021 med en udtalelse i sagen.
Resume
Datatilsynet har truffet afgørelse i en sag, hvor Coop har anmeldt et brud på persondatasikkerheden til tilsynet.
Coop var blevet opmærksom på, at der på virksomhedens fællesdrev var placeret personoplysninger uden tilstrækkelig adgangsstyring. Oplysningerne vedrørte i alt 477 medarbejdere og eksterne konsulenter. Coop opdagede bruddet i forbindelse med, at virksomheden afprøvede et nyt scanningsværktøj.
Datatilsynet fandt, at Coop ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger, fordi virksomheden tidligere burde have været opmærksom på, at medarbejdere fejlagtigt kunne have placeret personoplysninger på virksomhedens fællesdrev. Virksomheden burde derfor efter Datatilsynets opfattelse have kontrolleret og ryddet op på virksomhedens fællesdrev og indført relevante sikkerhedsforanstaltninger på et tidligere tidspunkt.
Datatilsynet fandt endvidere, at Coop rettidigt anmeldte sikkerhedsbruddet til tilsynet, idet anmeldelsen skete inden for tidsfristen på 72 timer.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Coop Danmark A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Datatilsynet finder endvidere, at Coop Danmark A/S har handlet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af Coop Danmark A/S’ indsendte materiale, at virksomheden den 9. juni 2019 blev opmærksom på, at filer med personoplysninger var blevet placeret i mapper på virksomhedens fællesdrev uden tilstrækkelig adgangsstyring. Nogle af oplysningerne var blevet placeret i mapperne af de registrerede selv, hvor andre oplysninger var blevet placeret af Coop Danmark A/S som led i ansættelsen. De ældste dokumenter blev placeret på fællesdrevet i 2013.
Oplysningerne vedrørte i alt 477 medarbejdere og eksterne konsulenter. For 20 af disse personer vedrørte oplysningerne personernes helbred, for 10 personer omhandlede oplysningerne personernes faglige tilhørsforhold, for 46 personer omhandlede oplysningerne personernes økonomiske forhold i forbindelse med aflønning, godtgørelse, tilskud og betaling for ydelser, og for 474 personer omhandlede oplysningerne personernes personnumre.
Coop Danmark A/S opdagede bruddet i forbindelse med, at virksomheden afprøvede et nyt scanningsværktøj. Værktøjet var indstillet til at søge efter personnummer og kreditkortnumre. Scanningen identificerede 35 filer, som blev sat i karantæne den 11. juni 2021. Det betød, at filerne blev flyttet til en mappe, hvor alene medarbejdere, som til daglig arbejder med behandling af sikkerhedsbrud i Coop Danmark A/S, kunne tilgå dem. Kørslen af scanningsværktøjet viste sig imidlertid ikke at være gennemført korrekt, idet det fundne antal filer ikke var fuldstændigt. Der pågik derfor efterfølgende et arbejde med en omkonfiguration. Efter at de tekniske udfordringer var blevet løst, blev scanningsværktøjet kørt igen den 24. august 2021 med samme kriterier. I den forbindelse blev yderligere 266 filer, der levede op til kriterierne for scanningen, identificeret. Disse nye filer blev sat i karantæne den 28. august 2021. Det har for Coop Danmark A/S været nødvendigt efter både første og anden scanning manuelt at gennemgå hver enkelt fil, som scanningsværktøjet identificerede, da virksomheden er bekendt med, at der ved scanningsværktøjet kan forekomme falsk positiv-udslag og at samme oplysninger kan fremgå flere gange.
Coop Danmark A/S har indsendt en kopi af virksomhedens politik fra december 2019 vedrørende adgangskontrol og brugerstyring og virksomhedens proces for styring af brugerrettigheder. Det fremgå heraf, at det i virksomheden ikke er muligt for den enkelte medarbejder selv at oprette en mappe på et fællesdrev. Dette kan kun ske igennem en anmodning herom til en servicefunktion i Coop Danmark A/S’ it-afdeling. Der tildeles adgang ud fra princippet om arbejdsbetinget behov.
Efter Coop Danmark A/S’ opfattelse har denne proces i vidt omfang fungeret. Virksomheden begrunder dette med, at de pågældende personoplysninger blev fundet på et fildrev indeholdende over 17 terabyte data. Coop Danmark A/S har endvidere henvist til, at personoplysningerne relaterer sig til 2013-2017, hvor der ikke var samme politik for brugerstyring som i dag.
Underretning af alle berørte registrerede blev igangsat den 3. september 2021.
Coop Danmark A/s har afslutningsvis vurderet, at den hidtidige tilgang til håndtering af fælles filer kan forbedres, hvorfor virksomheden i nogen tid har været i gang med forberedelserne til overgangen til en anden og bedre måde at håndtere sådanne data på. Coop Danmark A/S er i en proces, som har til formål at nedlægge fællesdrev i traditionel forstand for at overgå til en mere sikker løsning, hvor der bl.a. vil være en bedre brugerstyring samt logning. Det er derfor også virksomhedens forventning, at risikoen for lignende brud vil blive reduceret fremadrettet.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Coop Danmark A/S oplyste til grund, at oplysninger om 477 fysiske personer har været tilgængelig på virksomhedens fællesdrev, og at de ældste oplysninger har været tilgængelige fra 2013. Datatilsynet lægger endvidere til grund, at Coop Danmark A/S har ryddet op i filerne fra den 11. juni 2021 og indtil den 28. august 2021, og at disse blev flyttet til en mappe, hvor alene medarbejdere med et arbejdsbetinget behov havde adgang til oplysningerne.
Datatilsynet lægger på den baggrund til grund, at der har været uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, og at man som dataansvarlig sikrer, at oplysninger om registrerede, herunder særligt følsomme oplysninger, ikke kommer til uvedkommendes kendskab.
Datatilsynet finder på den baggrund, at Coop Danmark A/S ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at oplysningerne har været tilgængelige i perioden 2013 til 2021, og at en virksomhed af Coop Danmark A/S’ størrelse tidligere burde have været opmærksom på, at medarbejdere fejlagtigt kan have placeret personoplysninger på virksomhedens fællesdrev. Det er Datatilsynets opfattelse, at Coop Danmark A/S burde have kontrolleret og ryddet op på virksomhedens fællesdrev og indført relevante sikkerhedsforanstaltninger på et tidligere tidspunkt. Datatilsynet har herudover lagt vægt på, at oplysningerne bl.a. vedrører helbredsoplysninger, økonomiske oplysninger og oplysninger om personnummer.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Coop Danmark A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har noteret sig, at Coop Danmark A/S er ved at overgå til en mere sikker løsning, hvor der bl.a. vil være en bedre brugerstyring og ske logning.
3.2. Databeskyttelsesforordningens artikel 33
Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse, og om muligt inden 72 timer, skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Datatilsynet finder, at Coop Danmark A/S har handlet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.
Datatilsynet har i den forbindelse lagt vægt på, at Coop Danmark A/S blev bekendt med hændelsen den 9. juni 2021, og anmeldte bruddet på persondatasikkerheden til Datatilsynet den 12. juni 2021. Datatilsynet finder herved, at virksomheden har anmeldt den pågældende hændelse til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at virksomheden blev bekendt hermed.
4. Afsluttende bemærkninger
Datatilsynet bemærker, at Datatilsynets afgørelse ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30.
Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.
Datatilsynet forventer at offentliggøre denne afgørelse på tilsynets hjemmeside.
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).