Tilsyn med anmeldelse af brud på persondatasikkerheden

Dato: 31-08-2023

Datatilsynet har gennemført 16 planlagte tilsyn med fokus på kommuners og bankers håndtering af brud på persondatasikkerheden. Datatilsynet fandt anledning til at udtale kritik i to tilfælde.

Journalnummer: 2021-41-0134.

Nykredit A/S (herefter Nykredit) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, der bl.a. fokuserede på, om Nykredit havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Tilsynet blev ved brev af 24. november 2021 varslet over for Nykredit, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til bankens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Nykredit havde anmeldt væsentlig flere brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at banken efterlever databeskyttelsesreglerne i ringere grad end pengeinstitutter, der har væsentligt færre anmeldelser pr. ansat.

Ved brev af 18. januar 2022 sendte Nykredit en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Nykredits svar var endvidere vedlagt eksempler på relevante instrukser og retningslinjer.

1. Afgørelse

Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Nykredit har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.

2. Begrundelse for Datatilsynets afgørelse

Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.

Nykredit har i udtalelsen af 18. januar 2022 fremsendt bankens forretningsgang for kommunikation med kunder per e-mail (bilag 1), koncerndirektionens retningslinjer for behandling af personoplysninger af maj 2021 (bilag 2) og ”Den blå folder”, der er en instruks om datafortrolighed (bilag 3).

Nykredit har indledningsvist oplyst, at banken har et højt niveau for datasikkerhed og et robust set-up til sikring af, at medarbejderne er bevidste om den indsats, de skal levere for at opretholde dette, og at der løbende er fokus på at sikre, at banken har de rette systemløsninger og processer. Medarbejderne klædes godt på til at reducere risikoen for databrud samt til at sikre, at der foretages indberetning, når der sker brud på persondatasikkerheden.

I forbindelse med overvejelser om risikoen for utilsigtet videregivelse af oplysninger, herunder oplysninger af fortrolig karakter, har Nykredit bl.a. oplyst, at banken har gennemført en risikovurdering for transmission af personoplysninger via e-mail, herunder i forhold til passende krypteringsmetode og risikoen for de registrerede set i forhold til de fremsendte oplysningers karakter (dataklassifikation). Det er i den forbindelse bl.a. vurderet, hvornår der skal anvendes henholdsvis TLS-kryptering og end-to-end kryptering. Nykredit har endvidere oplyst, at medarbejderne er pålagt streng tavshedspligt i henhold til lov om finansiel virksomhed (§ 117), og at dette ansvar tages meget seriøst. Fortrolige oplysninger omfatter i den forbindelse alle oplysninger om bl.a. kunder og potentielle kunder, der ikke er offentligt tilgængelige, og Nykredit anser på den baggrund, at et tab af fortrolighed for sådanne oplysninger vil resultere i risiko for den fysiske personers rettigheder og frihedsrettigheder, og sådanne brud vil derfor altid blive anmeldt til Datatilsynet.

Nykredit har endvidere oplyst, at banken betragter antallet af anmeldte brud som et udslag af Nykredits særlige fokus på området, herunder bestræbelser på at uddanne medarbejderne, at den forretningsunderstøttede proces for indberetning af brud bliver anvendt af medarbejderne, samt at retningslinjerne omkring vurderingen af, hvornår der skal ske anmeldelse til Datatilsynet bliver overholdt, herunder vurderingen af brud på reglerne om tavshedspligt i lov om finansiel virksomhed.

Det fremgår af den nævnte forretningsgang, at kunderådgiverne bl.a. instrueres i, at der ikke må sendes oplysninger om f.eks. cpr-nummer til kunderne via e-mail, at de skal vurdere risikoen ved at sende en mail og under hvilke omstændigheder, e-mail kan anvendes til kundekontakt.

Nykredit har oplyst, at den ”Den Blå Folder” – der er obligatorisk læsning for alle nyansatte – både fungerer som en instruks og et opslagsværk. Den indeholder bl.a. et emne om fortrolighed, hvor det bl.a. er anført, hvad man skal være opmærksom på omkring e-mail og kryptering (fortrolig information må ikke sendes via e-mail, medmindre den er forsvarligt krypteret, evt. krypteringsnøgle skal om muligt sendes ad anden vej end de krypterede data, det skal tjekkes, at modtager er korrekt og relevant, der må ikke sendes fortrolig information som svar på en tidligere mail – der skal startes en ny e-mailtråd for at være sikker på, at modtageren er korrekt).

Nykredit har endvidere oplyst, at der gennemføres obligatorisk træning og undervisning af alle medarbejdere, både ved ansættelsens start og løbende, og at materialet bl.a. indeholder cases, der bringer fokus på risici forbundet med fremsendelse af oplysninger til kunder (autovalg af modtager, rigtig modtager forkert indhold, data bragt uden for pengeinstituttet, oplysninger sendes uberettiget mv.). Medarbejderne skal årligt gennemføre test i undervisningsmaterialet, og de skal gennemgå selve undervisningsmaterialet minimum hvert tredje år. Både forløb og materiale opdateres og aktualiseres løbende, og det gennemgås minimum en gang årligt. Medarbejderne gennemgår også et it-sikkerhedsmodul, der indeholder cases vedrørende forebyggelse af phisningforsøg, hacking og lign. it-sikkerhedstrusler, der kan resultere i ulovlig videregivelse.

Det fremgår af udtalelsen, at Nykredit løbende har implementeret tekniske og organisatoriske sikkerhedsforanstaltninger, herunder med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der er sket utilsigtet videregivelse af personoplysninger.

Nykredit har bl.a. oplyst, at der løbende foretages en vurdering af risikoen for utilsigtet videregivelse af personoplysninger, og at der er etableret en tværgående arbejdsgruppe, der skal understøtte, at der løbende iværksættes foranstaltninger, der kan nedbringe risikoen for brud. Arbejdsgruppen, der afholder kvartalsvise møder, fokuserer på situationer med gentagne brud af samme karakter og nedbringelse heraf. Det sker bl.a. ved at gennemgå tidligere brud og på den baggrund iværksætte målrettede tiltag såsom informationskampagner, opdatering af instrukser mv. Arbejdsgruppen har bl.a. identificeret, at 60 % af databruddene i 2020 omhandlede utilsigtet videregivelse. Ved håndteringen af konkrete brud tages der stilling til, hvilke foranstaltninger der skal iværksættes for at nedbringe sandsynligheden for lignende brud, og om der skal iværksættes foranstaltninger, der kan understøtte, at der i den relevante forretningsenhed er opmærksomhed og fokus på at forebygge lignende brud. Den tværgående arbejdsgruppe samler også op på foranstaltninger, der bliver implementeret i forretningsenhederne.

Nykredit har opregnet eksempler på organisatoriske tiltag, herunder undervisningsforløb for medarbejdere, forebyggende informationskampagner, afdelingsmøder ved konkrete brud på persondatasikkerheden, reduceret brug af Outlook til kundedialog, kvartalsvis kontrol af databrud, HR-kontrol af uddannelseslæring og et ”Privcay Lead netværk”, således at de lokale forretningsenheder har en GDPR-fagperson.

For så vidt angår tekniske foranstaltninger har Nykredit muliggjort anvendelse af en række krypterede kommunikationsformer, herunder end-to-end-kryptering som en yderligere foranstaltning ved fremsendelse af e-mails, end-to-end kryptering af bankens mobil- og netbank, tvungen TLS i Outlook, spam-filteringstjeneste, sikker kommunikation gennem et kundesystem frem for Outlook og krypteret kommunikation til myndigheder og samarbejdspartnere (TLS sikrede kommunikationskanaler).

Nykredit har derudover oplyst, at banken påtænker at indføre supplerende foranstaltninger for yderligere at nedbringe antallet af brud på persondatasikkerheden, hvor der sker utilsigtet videregivelse af personoplysninger, herunder notifikationsfunktion i Outlook, hvor medarbejderne bliver advaret ved forsøg på at sende en e-mail uden for Nykredits platform, og datascanning i Outlook, hvor medarbejderne bliver advaret, hvis de påtænker at sende en e-mail indeholdende cpr-numre i Outlook.

Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter mv., og at tilsynet ikke er bekendt med det fulde indhold af al vejlednings- og uddannelsesmateriale – på det foreliggende grundlag tilsynets vurdering, at Nykredit har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra Nykredit, herunder, at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at Nykredit, herunder via den tværgående arbejdsgruppe, har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der er stort fokus på undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag, der bl.a. har til formål at skabe sikre kommunikationsveje mellem bankens medarbejdere og kunder.

Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 24. november 2021 ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Nykredit. Idet der imidlertid fortsat anmeldes en del brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at Nykredit fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.

Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)