Journalnummer: 2021-41-0138.
Danske Andelskassers Bank A/S (herefter Danske Andelskassers Bank) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på, om Danske Andelskassers Bank foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, og artikel 33, stk. 5, herunder bankens processer for håndtering og registrering af brud på persondatasikkerheden. Tilsynet var baseret på vurdering af stikprøver blandt ikke anmeldte brud samt oplysninger om retningslinjer, procedurer og uddannelsesaktiviteter mv.
Tilsynet blev ved brev af 24. november 2021 varslet over for, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Danske Andelskassers Bank havde anmeldt væsentlig færre brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter.
Ved brev af 18. januar 2022 sendte Danske Andelskassers Bank en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Bankens svar var endvidere vedlagt procesbeskrivelser og retningslinjer, som banken anvender for at efterleve databeskyttelsesforordningens artikel 33.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet anledning til sammenfattende at konkludere, at Danske Andelskassers Bank overordnet set har vedtaget passende procedurer og retningslinjer og har gennemført passende uddannelsesaktiviteter for at opfange og behandle brud på persondatasikkerheden korrekt, jf. databeskyttelsesforordningens artikel 33.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
2.1. Relevante retsregler
Et brud på persondatasikkerheden er i databeskyttelsesforordningens artikel 4, nr. 12, defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Det følger af databeskyttelsesforordningens artikel 33, stk. 1, at ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden, anmelde dette til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55 (Datatilsynet), medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, skal den ledsages af en begrundelse for forsinkelsen.
Det er Datatilsynets opfattelse, at kravet i artikel 33 om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet inden for 72 timer, indebærer, at den dataansvarlige skal etablere passende procedurer og retningslinjer, som skal sikre, at brud bliver opdaget og behandlet korrekt. Den dataansvarlige skal i den forbindelse sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med interne procedurer for håndtering af brud på persondatasikkerheden, og at relevante medarbejdere kan identificere, håndtere og vurdere brud på persondatasikkerheden.
Det følger endvidere af databeskyttelsesforordningens artikel 33, stk. 5, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden (Datatilsynet) i stand til at kontrollere, at bestemmelsen er overholdt.
I Datatilsynets vejledning fra februar 2018 om håndtering af brud på persondatasikkerheden er det på side 27 anført, at kravene til dokumentation kan opstilles således:
- Dato og tidspunkt for bruddet.
- Hvad skete der i forbindelse med bruddet?
- Hvad er årsagen til bruddet?
- Hvilke (typer) personoplysninger er omfattet af bruddet?
- Hvilke konsekvenser har bruddet for de berørte personer?
- Hvilke afhjælpende foranstaltninger er truffet?
- Hvorvidt – og i givet fald hvordan – der er sket anmeldelse til Datatilsynet? Hvorfor/hvorfor ikke?
Den dataansvarlige bør således dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.
2.2. Vurdering af ikke-anmeldte brud
Danske Andelskassers Bank har på Datatilsynets anmodning redegjort for de tre første brud på persondatasikkerheden, som er sket i 2021, og som pengeinstituttet har undladt at anmelde til Datatilsynet.
Den første hændelse angik, at en medarbejder ved en fejl sendte en e-mail, der indeholdte et netbank-brugernummer, navn og oplysninger om, at kunden havde ansøgt om et bevilget overtræk og havde godkendt/sendt E-skat data til banken, til en kunde i stedet for sin kollega, der havde samme for- og efternavn. Fejlen opstod ved, at systemet foreslog både medarbejdere og kunder, og at medarbejderen ikke var opmærksom på, at vedkommende fejlagtigt valgte en kunde med det samme navn som kollegaen. Banken har ved vurderingen af bruddets karakter lagt vægt på, om det vurderes, at de fremsendte oplysninger ikke kunne kompromittere kunden. Den anden hændelse angik, at en medarbejder hos Letpension, som udveksler filer med de enkelte pengeinstitutter, ved en fejl lagde Danske Andelskassers Banks fil for indbetalinger i en mappe, der kunne tilgås i ca. 26,5 timer af alle pengeinstitutter omfattet af samarbejdet. Filen indeholdt personnumre og økonomiske oplysninger. Danske Andelskassers Bank har oplyst, at Spar Nord indrapporterede bruddet til Letpension uden at tilgå mappen, og at der derudover ikke er anledning til at tro, at de øvrige pengeinstitutter, der er underlagt tavshedspligt, har tilgået mappen, hvorfor risikoen for kompromittering må anses for usandsynlig. Banken har ved vurderingen af bruddets karakter lagt vægt på, at oplysningerne kun var tilgængelige i et kort tidsrum hos modtagere, der er underlagt tavshedspligt. Den tredje hændelse angik, at der i forbindelse med et databrud hos BEC Financial Technologies ikke blev videregivet oplysninger til Danske Andelskassers Bank om eventuel adressebeskyttelse for eksisterende kunder, der var blevet tildelt et nyt personnummer. Det skyldes, at når en kunde skiftede cpr-nummer, blev vedkommende ikke tilmeldt CPR-overvågning, hvorved BEC og dermed heller ikke banken modtog oplysninger om en eventuel registrering af navne- og adressebeskyttelse. Det kunne betyde, at banken i forbindelse med transaktioner har oplyst beskyttet adresse eller sendt materiale til en adresse, som kunden ikke længere bor på. Efter en gennemgang af de berørte kunder konstaterede Danske Andelskassers Bank, at der ikke var sket overførsler, hvormed der kunne være sendt adresseoplysninger.
Datatilsynet finder ikke grundlag for at tilsidesætte Danske Andelskassers Banks vurdering af, at de første to hændelser kan karakteriseres som brud på persondatasikkerheden, jf. databeskyttelsesordningens artikel 4, nr. 12, men at disse ikke er omfattet af pligten til at foretage anmeldelse.
Datatilsynet finder således ikke grundlag for at tilsidesætte vurderingen af, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1.
Datatilsynet finder ikke, at den tredje hændelse udgør et brud på persondatasikkerheden. Datatilsynet har herved lagt vægt på, at det anmeldte ikke udgør et brud på etablerede sikkerhedsforanstaltninger, der har ført til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. definitionen i databeskyttelsesforordningens artikel 4, stk. 1, nr. 12.
2.3. Dokumentation, procedurer og uddannelse af medarbejderne
Danske Andelskassers Bank har i udtalelsen af 18. januar 2022 oplyst, at der siden den 25. maj 2018 og frem til udtalelsen i nærværende sag er konstateret i alt 39 brud på persondatasikkerheden hos Danske Andelskassers Bank.
Det fremgår derudover af udtalelsen af 18. januar 2021 og de vedlagte bilag, at Danske Andelskassers Bank bl.a. har fastlagt procedurer for, hvortil og hvordan brud på persondatasikkerheden skal indberettes internt i organisationen, hvem medarbejderne kan rette henvendelse til med spørgsmål om brud, hvem der har ansvaret for at varetage opgaverne med at modtage, håndtere og vurdere brud samt at foretage anmeldelse til Datatilsynet. Det fremgår endvidere, at der foretages intern dokumentation af brud, herunder bl.a. begrundelsen herfor, hvis bruddene ikke er anmeldt til Datatilsynet.
Det fremgår endvidere, at Danske Andelskassers Bank har udarbejdet vejledninger og gennemført en række aktiviteter for at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de vil kunne identificere og håndtere eventuelle brud på persondatasikkerheden.
Danske Andelskassers Bank har derudover redegjort for, hvilke kriterier der indgår i bankens vurdering af, om et brud på persondatasikkerheden skal anmeldes til Datatilsynet.
Det er på baggrund af det fremsendte materiale, herunder oplysningerne om de tre ikke anmeldte brud fra 2021, Datatilsynets umiddelbare vurdering, at Danske Andelskassers Bank overordnet set har vedtaget passende procedurer og retningslinjer mv. og har gennemført passende uddannelsesaktiviteter, som kan understøtte overholdelsen af kravene i databeskyttelsesforordningens artikel 33, og som dermed kan sikre, at brud på persondatasikkerheden opfanges i organisationen, sådan at disse kan blive vurderet med henblik på, om bruddet skal anmeldes til Datatilsynet, ligesom der kan foretages dokumentation af bruddene, herunder bl.a. begrundelsen herfor hvis de ikke anmeldes til Datatilsynet.
Det bemærkes, at Datatilsynet ikke som led i tilsynet har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder indholdet af f.eks. løbende awarenessindsatser.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)