Journalnummer: 2021-41-0133.
Spar Nord Bank A/S (herefter Spar Nord Bank) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, der bl.a. fokuserede på, om Spar Nord Bank havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Tilsynet blev ved brev af 24. november 2021 varslet over for Spar Nord Bank, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til bankens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Spar Nord Bank havde anmeldt væsentlig flere brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at banken efterlever databeskyttelsesreglerne i ringere grad end pengeinstitutter, der har væsentligt færre anmeldelser pr. ansat.
Ved brev af 14. januar 2022 sendte Spar Nord Bank en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Spar Nord Banks svar var endvidere vedlagt eksempler på relevante instrukser og retningslinjer mv.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Spar Nord Bank har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Spar Nord Bank har i udtalelsen af 14. januar 2022 fremsendt en vejledning om sikker kommunikation (bilag 1) samt uddrag fra bankens GDPR-site og IT-sikkerhedspolitik (bilag 2 og 3). Banken har desuden fremsendt retningslinjer for uddannelse af medarbejderne i persondata, uddrag af bankens medarbejderhåndbog, bankens databeskyttelsesrådgivers introduktionsmateriale til nye medarbejdere samt kopi af en e-mail vedrørende resultatet af en Data Loss Prevention-scanning (bilag 4 – 7).
Spar Nord Bank har indledningsvist bl.a. oplyst, at banken – i forhold til perioden fra 25. maj 2018 frem til ultimo 2020 – har justeret sin indberetningsprocedure vedrørende databrud, idet banken har foretaget en fornyet vurdering af, hvornår et brud på persondatasikkerheden bør anmeldes til tilsynet. I den ovennævnte periode anmeldte banken næsten alle brud, uanset om en nærmere risikovurdering måtte have vist, at det var usandsynligt, at bruddet på persondatasikkerheden indebar en risiko for fysiske personers rettigheder eller frihedsrettigheder. Fra primo/medio 2021 har banken justeret i processen og risikovurderingen for behandling af databrud, hvilket har medført færre anmeldelser til tilsynet. Banken har dog fortsat en restriktiv praksis for, hvornår brud anmeldes til Datatilsynet. Det skyldes, at banken har øget opmærksomhed på beskyttelse af kunders personoplysninger, særligt grundet den skærpede tavshedspligt Spar Nord Bank som pengeinstitut er underlagt.
Spar Nord Bank har endvidere oplyst, at banken har prioriteret en høj grad af awareness om databrud, og at der er en tydelig proces for behandling af databrud samt en synligt placeret formular til indberetning af databrud på intranettet, og at dette har betydning for, at medarbejderne internt har relativt let adgang til at indberette brud på persondatasikkerheden.
Spar Nord Bank har oplyst, at bankes databeskyttelsespolitik sætter nogle overordnede principper i forhold til bankens håndtering af personoplysninger, som udmøntes på en lang række områder i relation til bankens håndtering, herunder at alle bankens medarbejdere har opmærksomhedspligt i det arbejde, de udfører, så det sikres, at personoplysninger om bankens kunder og medarbejdere behandles i overensstemmelse med bankens regler og forretningsgange.
Det er videre oplyst, at banken har implementeret et GDPR-site, der samler viden om databeskyttelsesreglerne, så bankens medarbejdere nemt og hurtigt kan søge viden. På sitet er der vejledning omkring sikker kommunikation. Vejledningen er bankens instruks til medarbejderne om, hvordan de kommunikerer sikkert med bankens kunder. Det fremgår bl.a. heraf, at udgangspunktet er, at der kommunikeres med kunderne via netbank. Hvis det ikke er muligt, kan der anvendes e-mails, som er TLS-krypterede.
På GDPR-sitet er der også et særskilt afsnit om brud på persondatasikkerheden, hvoraf det bl.a. fremgår, at størstedelen af bankens databrud relaterer sig til fejlsendte mails eller dokumenter, der sendes til forkert modtager. Det er anført, at medarbejderne for at undgå disse typer af fejl anbefales at dobbelttjekke modtageren og indholdet i en meddelelse og eventuelt bede en kollega om at gennemse mailen inden afsendelse.
Det er videre oplyst, at der i IT-sikkerhedspolitikken bl.a. er et kapitel om kommunikationssikkerhed, hvoraf det fremgår, at kommunikation skal ske ved passende sikkerhedsforanstaltninger. Ved elektronisk kommunikation til eksterne stilles der krav om kryptering, ligesom der skal være fornøden agtpågivenhed, så krav om fortrolighed overholdes.
Det fremgår endvidere af det fremsendte materiale, at der hvert andet år gennemføres e-læringsuddannelse af medarbejderne, dels i forhold til databeskyttelse generelt og dels i forhold til awareness omkring brud på persondatasikkerheden. Derudover deltager bankens DPO på introduktionsdage for nye ansatte, som bliver afholdt en gang om måneden. DPO’ens materiale indeholder bl.a. plancher, der knytter sig til databrud, herunder sikring af tilstrækkelig opmærksomhed ved fremsendelse af oplysninger.
Spar Bank Nord har oplyst, at den skærpede tavshedspligt, jf. ovenfor, er grundlæggende for bankens arbejde, og at kravet om tavshedspligt oplyses til bankens medarbejdere ved ansættelse, ligesom det fremgår af medarbejderhåndbogen. Det er derfor naturligt indlejret i bankens arbejde og håndteringen af kundernes oplysninger, at fortroligheden af oplysningerne skal sikres.
Spar Bank Nord har videre oplyst, at der udarbejdes GDPR-risikovurderinger, jf. databeskyttelsesforordningens artikel 32, både i relation til systemer og selve behandlingsaktiviteterne. Heri indgår en vurdering af risikoen for brud på fortroligheden i forbindelse med behandlingen af personoplysninger. Som led i vurderingen beskrives truslen samt hvilke foranstaltninger – såvel tekniske som organisatoriske – der er iværksat eller skal iværksættes for at beskytte de personoplysninger, der behandles, og for at risikoen for brud på fortroligheden derved mindskes.
Spar Nord Bank har endelig oplyst, at banken har gjort sig overvejelser i forlængelse af passerede brud på persondatasikkerheden, hvor der er sket utilsigtet videregivelse af personoplysninger. Banken har på baggrund af overvejelserne løbende implementeret organisatoriske foranstaltninger, herunder ved at føre statistik over typen af brud på persondatasikkerheden med henblik på at identificere behovet for yderligere sikkerhedsforanstaltninger og ved at gennemføre målrettet awareness i afdelinger, hvor der er flere brud på persondatasikkerheden end andre. Banken har endvidere implementeret tekniske foranstaltninger, som f.eks. en Data Loss Prevention løsning, der bl.a. scanner for fortrolige oplysninger og advarer medarbejderen, inden en e-mail til en ekstern modtager afsendes. Spar Nord Bank desuden planlagt at iværksætte yderligere foranstaltninger i 2022, herunder en GDPR-awarenesskampagne med et særligt fokus på brud på persondatasikkerheden.
Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter mv., og at tilsynet ikke er bekendt med det fulde indhold af al vejlednings- og uddannelsesmateriale – på det foreliggende grundlag tilsynets vurdering, at Spar Nord Bank set har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.
Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra Spar Nord Bank, herunder, at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at Spar Nord Bank har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der er stort fokus på undgå utilsigtet videregivelse af personoplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag, der bl.a. har til formål at skabe sikre kommunikationsveje mellem bankens medarbejdere og kunder.
Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 24. november 2021 ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Spar Nord Bank. Idet der imidlertid fortsat anmeldes en del brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at banken fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)