Journalnummer: 2021-423-0242.
Ringkøbing-Skjern Kommune var blandt de offentlige myndigheder, som Datatilsynet i foråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som bl.a. fokuserede på, om Ringkøbing-Skjern Kommune havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Tilsynet blev ved brev af 21. juni 2021 varslet over for Ringkøbing-Skjern Kommune, og kommunen blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til kommunens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Ringkøbing-Skjern Kommune havde anmeldt væsentlig flere brud på persondatasikkerheden pr. indbygger i kommunen end Danmarks øvrige kommuner. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at kommunen efterlever databeskyttelsesreglerne i ringere grad end kommuner, der har væsentligt færre anmeldelser pr. indbygger.
Ved brev af 10. august 2021 sendte Ringkøbing-Skjern Kommune en udtalelse, hvor kommunen svarede på Datatilsynets spørgsmål. Ringkøbing-Skjern Kommunes svar var endvidere vedlagt eksempler på relevante procedurer og retningslinjer.
Resumé
Datatilsynet indledte i sommeren og efteråret 2021 skriftlige tilsyn med otte større kommuners og otte større bankers håndtering af brud på persondatasikkerheden.
Tilsynene var tilrettelagt således, at kommunerne og bankerne blev inddelt i to grupper – dem, der havde anmeldt henholdsvis flest og færrest brud i forhold til henholdsvis kommunens indbyggertal og antal ansatte i banken.
"En af de nye ting, der kom med GDPR for godt fem år siden var, at de dataansvarlige som udgangspunkt skal anmelde alle brud på persondatasikkerheden til Datatilsynet inden for 72 timer, ligesom de internt skal dokumentere alle brud på persondatasikkerheden, uanset om de skal anmeldes til Datatilsynet eller ej. Derudover er der kommet et skærpet fokus på, hvad virksomheder og myndigheder skal overveje, når kundernes eller borgernes oplysninger ved en fejl bliver håndteret forkert," fortæller Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet og fortsætter:
"Det kan f.eks. føre til, at der er behov for at indføre nye eller yderligere sikkerhedsforanstaltninger for at nedbringe risikoen for yderligere brud. Derfor har vi nu givet området et serviceeftersyn, hvor vi har set på procedurerne og taget nogle stikprøver. Konklusionen er i store træk, at der hos de 16 udvalgte kommuner og banker ser ud til at være det rette fokus på at efterleve reglerne."
Gruppen med flest anmeldte brud
For gruppen med flest anmeldte brud fokuserede tilsynene bl.a. på, om kommunerne og bankerne havde truffet passende sikkerhedsforanstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der var sket uautoriseret videregivelse af personoplysninger i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder mv., herunder i relation til borgere med navne- og adressebeskyttelse og økonomiske oplysninger.
Efterlevelse af reglerne om passende behandlingssikkerhed vil normalt indebære, at:
- Den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab. Den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv.
- Procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet fandt på det foreliggende grundlag, at alle de dataansvarlige havde truffet passende sikkerhedsforanstaltninger. Datatilsynet lagde ved vurderingen heraf vægt på, at:
- Der var udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager.
- De har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud.
- Der er stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag mv.
Gruppen med færrest anmeldte brud
For gruppen med færrest anmeldte brud fokuserede tilsynene på, om kommunerne og bankerne foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med kravene i databeskyttelsesforordningen, herunder deres processer for håndtering og registrering af brud på persondatasikkerheden.
Datatilsynet udtalte i disse sager, at det er tilsynets opfattelse, at efterlevelse af reglerne om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet inden for 72 timer, indebærer, at:
- Den dataansvarlige skal etablere passende procedurer og retningslinjer, som skal sikre, at brud bliver opdaget og behandlet korrekt.
- Den dataansvarlige skal i den forbindelse sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med interne procedurer for håndtering af brud på persondatasikkerheden, og at relevante medarbejdere kan identificere, håndtere og vurdere brud på persondatasikkerheden.
Datatilsynet fandt, at alle de dataansvarlige overordnet set har vedtaget passende procedurer og retningslinjer mv. og har gennemført passende uddannelsesaktiviteter, som kan understøtte overholdelsen af kravene i databeskyttelsesforordningen om anmeldelse af brud på persondatasikkerheden. Dermed kan de sikre, at brud på persondatasikkerheden opfanges i organisationen, sådan at disse kan blive vurderet med henblik på, om bruddet skal anmeldes til Datatilsynet, ligesom der kan foretages dokumentation af bruddene, herunder bl.a. begrundelsen herfor, hvis de ikke anmeldes til Datatilsynet.
Datatilsynet bemærkede dog i forhold til alle tilsynene, at Datatilsynet ikke som led i tilsynet havde haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder indholdet af f.eks. løbende awarenessindsatser.
Herudover udtalte Datatilsynet, at reglen om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger, bl.a. skal sikre, at Datatilsynet skal kunne kontrollere, at bestemmelsen om anmeldelse af brud på persondatasikkerheden er overholdt. De dataansvarlige bør derfor dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.
Kritik i to sager
Der er som anført udtalt kritik i to af sagerne – og de omhandler netop, at to kommuner ikke havde dokumenteret alle brud på persondatasikkerheden.
I den ene sag har Datatilsynet udtalt alvorlig kritik af, at Roskilde Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i perioden fra den 25. maj 2018 til september 2019, og at kommunen ikke kan dokumentere, hvorvidt de registrerede sikkerhedshændelser siden september 2019 udgør egentlige brud på persondatasikkerheden.
I den anden sag har Datatilsynet udtalt kritik af, at Frederikshavn Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i 2018.
Datatilsynet bemærker, at listen over brud – udover at tjene som dokumentation over for Datatilsynet – også bør bruges af den dataansvarlige til bl.a. at få overblik over, hvilke brud der typisk sker i organisationen, og til den på den baggrund at overveje, om der ud fra en risikovurdering er behov for at iværksætte nye eller supplerende foranstaltninger for at undgå eller nedbringe risikoen yderligere brud. Det fremgår også af de modtagne høringssvar, at flere af de dataansvarlige aktivt anvender listerne til dette formål.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Ringkøbing-Skjern Kommune har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Ringkøbing-Skjern Kommune har i udtalelsen af 10. august 2021 fremsendt eksempler på retningslinjer og instrukser til kommunens medarbejdere vedrørende håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder mv. Kommunen har oplyst, at kommunen løbende gennemfører awarenessaktiviteter, hvor der er fokus på GDPR, herunder brud på persondatasikkerheden.
Ringkøbing-Skjern Kommune har oplyst, at der i de to fagområder, som behandler personoplysninger om børn og forældre, og hvor der er tilfælde, hvor den ene forælder kan have navne- og adressebeskyttelse, og hvor det kun er den ene forælder, der har forældremyndigheden, er stort fokus på at passe på navne- og adressebeskyttede oplysninger, og at der ikke har været tilfælde med uberettiget videregivelse af sådanne oplysninger. Dette understøttes bl.a. af procedurer for korrekt registrering af forældre, der ikke har forældremyndighed, så det sikres, at der ikke sker en utilsigtet videregivelse af personoplysninger til dem, samt af procedurer for udsendelse af materiale. Det understøttes endvidere af, at der i alle systemerne indhentes oplysninger om adressebeskyttelse via CPR-registret, hvorved der er ensartethed i måden hvorpå, der modtages oplysninger om særlige forhold, herunder adressebeskyttelse. Det systemunderstøttes også på anden vis, f.eks. ved at oplysninger om forældremyndighed hentes ind i børnefaglige undersøgelser, hvorved kun oplysninger om den relevante part medtages.
Det fremgår videre af sagen, at Ringkøbing-Skjern Kommune har gjort sig overvejelser i forlængelse af passerede brud på persondatasikkerheden, hvor der er sket utilsigtet videregivelse af personoplysninger. Kommunen har på baggrund af overvejelserne løbende implementeret organisatoriske foranstaltninger, herunder ved individuelle drøftelser af hændelser, hvor der er sket brud på persondatasikkerheden samt drøftelse heraf på personale- og teammøder mv., udarbejdelse af handleplaner mv. Endvidere har kommunen løbende implementeret tekniske foranstaltninger, som f.eks. scanningsværktøjer. Kommunen har derudover oplyst, at kommunen – bl.a. i dialog med kommunens it-leverandør – løbende undersøger mulighederne for at iværksætte yderligere tekniske og organisatoriske foranstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker utilsigtet videregivelse af personoplysninger.
Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af al uddannelsesmateriale, herunder af indholdet af f.eks. undervisningsforløb – på det foreliggende grundlag tilsynets vurdering, at Ringkøbing-Skjern Kommune har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra kommunen, herunder at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at kommunen har gjort sig overvejelser og indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der i de berørte fagområder er stort fokus på undgå utilsigtet videregivelse af navne- og adressebeskyttede oplysninger, hvilket både understøttes systemmæssigt og af procedurer mv.
Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 21. juni 2021 ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Ringkøbing-Skjern Kommune. Idet der imidlertid fortsat anmeldes en del brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at kommunen fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)