Journalnummer: 2021-41-0131.
Lån & Spar Bank A/S (herefter Lån & Spar Bank) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, der bl.a. fokuserede på, om Lån & Spar Bank havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Tilsynet blev ved brev af 24. november 2021 varslet over for Lån & Spar Bank, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til bankens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Lån & Spar Bank havde anmeldt væsentlig flere brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at banken efterlever databeskyttelsesreglerne i ringere grad end pengeinstitutter, der har væsentligt færre anmeldelser pr. ansat.
Ved brev af 19. januar 2022 sendte Lån & Spar Bank en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Lån & Spar Banks svar var endvidere vedlagt eksempler på relevante instrukser og retningslinjer mv.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Lån & Spar Bank har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Lån & Spar Bank har i udtalelsen af 19. januar 2022 bl.a. fremsendt bankens forretningsgange for databrud (bilag 9) og TLS-kryptering (bilag 10). Banken har desuden oplyst om eksempler på tiltag vedrørende håndtering af personoplysninger målrettet medarbejderne, herunder i forbindelse med videregivelse af oplysninger. Lån & Spar Bank har i den forbindelse bl.a. oplyst om en uddannelsespræsentation, en video om databeskyttelse samt eksempler på virksomhedens awarenessaktiviteter (bilag 1-8).
Lån & Spar Bank har oplyst, at banken – i forbindelse med overvejelser om risikoen for utilsigtet videregivelse af oplysninger, herunder oplysninger af fortrolig karakter – i en årrække har arbejdet med et koncept kaldet ”sikker kommunikation”, der er opdelt i to indsatsområder, henholdsvis den tekniske front og den organisatoriske front.
For så vidt angår den tekniske front har Lån & Spar Bank oplyst om en række tekniske foranstaltninger, der har til formål at sikre et passende sikkerhedsniveau, når der foregår kommunikation mellem virksomhedens medarbejdere og kunder. Lån & Spar Bank har f.eks. oplyst, at kommunikation til og fra virksomhedens kunder bl.a. foregår via netbank, hvortil der kræves et login. Lån & Spar Banks medarbejdere kan skrive og videregive oplysninger til kunder via et internt system kaldet ”SAMBA”, hvorved oplysningerne aldrig forlader bankens miljø, der tilgås via sikker forbindelse og ved brug af NemID/MitID. Lån & Spar Bank benytter desuden krypterede e-mails og e-mails, der kræver medarbejdersignatur for at afsende og/eller læse.
Lån & Spar Bank har derudover oplyst, at kunderne kan modtage notifikationer via sms eller e-mail, når banken har kontaktet kunden via netbank. Notifikationerne indeholder alene besked om, at kunden skal logge ind på netbanken for at læse det, som banken har sendt.
Som en del af den tekniske front i konceptet ”sikker kommunikation” anvender Lån & Spar Bank desuden et screeningsværktøj til at scanne data i e-mails, før de forlader Lån & Spar Bank. Værktøjet kan identificere sensitiv information, som udgangspunkt cpr-nummer. Det kan således identificere mønstre i tekst eller filer, der matcher en kendt sensitiv informationstype. Afsendelse af e-mails, der indeholder cpr-nummer både i mailtekst og/eller i vedhæftede dokumenter, vil blive blokeret, så de ikke forlader Lån & Spars mailserver. I de situationer, hvor der er behov for at sende en mail med fortrolige oplysninger, kan det kun lade sig gøre, hvis det sker til en modtager, der er blevet whitelistet. Det kan også lade sig gøre ved at afsende krypterede mails. Nogle af bankens afdelinger sender krypterede mails ud af banken, der skal åbnes/afsendes med medarbejdersignatur. Dette er oftest til politiet, kommuner samt SKAT.
For så vidt angår den organisatoriske front har Lån & Spar Bank oplyst, at banken har gennemført en række organisatoriske tiltag, som har til formål at forebygge databrud, der bl.a. kan opstå i forbindelse med kommunikation mellem bankens medarbejdere og kunder.
Lån & Spar Bank har overordnet set oplyst om tre organisatoriske tiltag, der helt eller delvist vedrører sikker kommunikation og håndteringen af databrud i øvrigt: Løbende awarenesskampagner og uddannelse for medarbejdere om bl.a. cybersikkerhed, phishing og sikker brug af IT-udstyr, udarbejdelse af forretningsgange og implementering af proces ved brud på persondatasikkerheden, samt nyheder og vejledninger til medarbejdere, der enten har til formål at vejlede og/eller minde medarbejderne om databeskyttelsesrelaterede emner, såsom verificering af kunders relationer.
Lån & Spar Bank har i den forbindelse oplyst, at medarbejderne gennemfører GDPR-kurser via ”Finanssektorens Uddannelsescenter”, og at Lån & Spar Bank har afholdt særlige seminarer for udvalgte afdelinger, hvor størstedelen af arbejdsopgaverne indebærer behandling af personoplysninger. Lån & Spar Bank har ligeledes oplyst, at banken stiller krav om, at nye medarbejdere skal gennemføre databeskyttelsestræning, og at alle medarbejdere hvert andet år skal gennemgå en databeskyttelsestest.
Lån & Spar Bank har desuden oplyst, at banken siden 2018 har haft et internt GDPR-udvalg, der mødes hvert kvartal for at sikre løbende bevågenhed om databeskyttelsesreglerne, herunder ved drøftelse af bankens seneste databrud, ligesom nye mitigerende aktiviteter/ændringer besluttes. Derudover udsender banken nyheder til hele organisationen, der bl.a. indeholder råd og vejledning om, hvordan man bedst undgår databrud. Nyhederne er udarbejdet på baggrund af analyser af historiske databrud.
Lån & Spar Bank har endelig oplyst, at banken løbende har implementeret tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der er sket utilsigtet videregivelse af personoplysninger. Lån & Spar Bank har som et eksempel herpå oplyst, at der er foretaget ændringer i bankens sikker kommunikations-univers, således at medarbejderen aktivt skal tilvælge, om en samlever eller ægtefælle også skal modtage det, der fremsendes, og at ændringer i oplysninger om samlever eller ægtefælle synkroniseres på tværs af bankens systemer. Derudover planlægger banken at indføre et sikkerhedstiltag, der går ud på, at det gøres obligatorisk at tjekke, om medarbejderen har opladet det rigtige dokument til den rigtige kunde, inden dokumentet sendes.
Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter mv., og at tilsynet ikke er bekendt med det fulde indhold af al vejlednings- og uddannelsesmateriale – på det foreliggende grundlag tilsynets vurdering, at Lån & Spar Bank har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra Lån & Spar Bank, herunder, at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at Lån & Spar Bank, herunder via det interne GDPR-udvalg, har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der er stort fokus på undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag, der bl.a. har til formål at skabe sikre kommunikationsveje mellem bankens medarbejdere og kunder.
Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 24. november 2021 ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Lån & Spar Bank. Idet der imidlertid fortsat anmeldes brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at banken fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)