Tilsyn med anmeldelse af brud på persondatasikkerheden

Dato: 31-08-2023

Datatilsynet har gennemført 16 planlagte tilsyn med fokus på kommuners og bankers håndtering af brud på persondatasikkerheden. Datatilsynet fandt anledning til at udtale kritik i to tilfælde.

Journalnummer: 2021-41-0132.

Sydbank A/S (herefter Sydbank) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som bl.a. fokuserede på, om Sydbank havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Tilsynet blev ved brev af 24. november 2021 varslet over for Sydbank, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til bankens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Sydbank havde anmeldt væsentlig flere brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at banken efterlever databeskyttelsesreglerne i ringere grad end pengeinstitutter, der har væsentligt færre anmeldelser pr. ansat.

Ved brev af 19. januar 2022 sendte Sydbank en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Sydbanks svar var endvidere vedlagt eksempler på relevante instrukser og retningslinjer.

Resumé

Datatilsynet indledte i sommeren og efteråret 2021 skriftlige tilsyn med otte større kommuners og otte større bankers håndtering af brud på persondatasikkerheden.

Tilsynene var tilrettelagt således, at kommunerne og bankerne blev inddelt i to grupper – dem, der havde anmeldt henholdsvis flest og færrest brud i forhold til henholdsvis kommunens indbyggertal og antal ansatte i banken.

"En af de nye ting, der kom med GDPR for godt fem år siden var, at de dataansvarlige som udgangspunkt skal anmelde alle brud på persondatasikkerheden til Datatilsynet inden for 72 timer, ligesom de internt skal dokumentere alle brud på persondatasikkerheden, uanset om de skal anmeldes til Datatilsynet eller ej. Derudover er der kommet et skærpet fokus på, hvad virksomheder og myndigheder skal overveje, når kundernes eller borgernes oplysninger ved en fejl bliver håndteret forkert," fortæller Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet og fortsætter:

"Det kan f.eks. føre til, at der er behov for at indføre nye eller yderligere sikkerhedsforanstaltninger for at nedbringe risikoen for yderligere brud. Derfor har vi nu givet området et serviceeftersyn, hvor vi har set på procedurerne og taget nogle stikprøver. Konklusionen er i store træk, at der hos de 16 udvalgte kommuner og banker ser ud til at være det rette fokus på at efterleve reglerne."

Gruppen med flest anmeldte brud

For gruppen med flest anmeldte brud fokuserede tilsynene bl.a. på, om kommunerne og bankerne havde truffet passende sikkerhedsforanstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der var sket uautoriseret videregivelse af personoplysninger i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder mv., herunder i relation til borgere med navne- og adressebeskyttelse og økonomiske oplysninger.

Efterlevelse af reglerne om passende behandlingssikkerhed vil normalt indebære, at:

  • Den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab. Den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv.
  • Procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.

Datatilsynet fandt på det foreliggende grundlag, at alle de dataansvarlige havde truffet passende sikkerhedsforanstaltninger. Datatilsynet lagde ved vurderingen heraf vægt på, at:

  • Der var udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager.
  • De har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud.
  • Der er stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag mv.

Gruppen med færrest anmeldte brud

For gruppen med færrest anmeldte brud fokuserede tilsynene på, om kommunerne og bankerne foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med kravene i databeskyttelsesforordningen, herunder deres processer for håndtering og registrering af brud på persondatasikkerheden.

Datatilsynet udtalte i disse sager, at det er tilsynets opfattelse, at efterlevelse af reglerne om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet inden for 72 timer, indebærer, at:

  • Den dataansvarlige skal etablere passende procedurer og retningslinjer, som skal sikre, at brud bliver opdaget og behandlet korrekt.
  • Den dataansvarlige skal i den forbindelse sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med interne procedurer for håndtering af brud på persondatasikkerheden, og at relevante medarbejdere kan identificere, håndtere og vurdere brud på persondatasikkerheden.

Datatilsynet fandt, at alle de dataansvarlige overordnet set har vedtaget passende procedurer og retningslinjer mv. og har gennemført passende uddannelsesaktiviteter, som kan understøtte overholdelsen af kravene i databeskyttelsesforordningen om anmeldelse af brud på persondatasikkerheden. Dermed kan de sikre, at brud på persondatasikkerheden opfanges i organisationen, sådan at disse kan blive vurderet med henblik på, om bruddet skal anmeldes til Datatilsynet, ligesom der kan foretages dokumentation af bruddene, herunder bl.a. begrundelsen herfor, hvis de ikke anmeldes til Datatilsynet.

Datatilsynet bemærkede dog i forhold til alle tilsynene, at Datatilsynet ikke som led i tilsynet havde haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder indholdet af f.eks. løbende awarenessindsatser.

Herudover udtalte Datatilsynet, at reglen om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger, bl.a. skal sikre, at Datatilsynet skal kunne kontrollere, at bestemmelsen om anmeldelse af brud på persondatasikkerheden er overholdt. De dataansvarlige bør derfor dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.

Kritik i to sager

Der er som anført udtalt kritik i to af sagerne – og de omhandler netop, at to kommuner ikke havde dokumenteret alle brud på persondatasikkerheden.

I den ene sag har Datatilsynet udtalt alvorlig kritik af, at Roskilde Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i perioden fra den 25. maj 2018 til september 2019, og at kommunen ikke kan dokumentere, hvorvidt de registrerede sikkerhedshændelser siden september 2019 udgør egentlige brud på persondatasikkerheden.

I den anden sag har Datatilsynet udtalt kritik af, at Frederikshavn Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i 2018.

Datatilsynet bemærker, at listen over brud – udover at tjene som dokumentation over for Datatilsynet – også bør bruges af den dataansvarlige til bl.a. at få overblik over, hvilke brud der typisk sker i organisationen, og til den på den baggrund at overveje, om der ud fra en risikovurdering er behov for at iværksætte nye eller supplerende foranstaltninger for at undgå eller nedbringe risikoen yderligere brud. Det fremgår også af de modtagne høringssvar, at flere af de dataansvarlige aktivt anvender listerne til dette formål.

1. Afgørelse

Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Sydbank har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.

2. Begrundelse for Datatilsynets afgørelse

Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede, og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.

Sydbank har i udtalelsen af 19. januar 2022 oplyst, at banken i forbindelse med at databeskyttelsesforordningen fandt anvendelse fra maj 2018 udarbejdede en række forretningsgange, arbejdsbeskrivelser og vejledninger, herunder til brug for hvordan personoplysninger skal håndteres, hvordan de må transporteres, og hvorledes et databrud skal håndteres. Sydbank har anført, at de vigtigste er fremsendt sammen med udtalelsen, ligesom de er gennemgået i udtalelsen. Der er fremsendt følgende forretningsgang/vejledninger mv. (bilag 1 indeholder en oversigt): Forretningsgang for sikker kommunikation (bilag 2), Valg af kanal – beslutningstræ (bilag 3), Forretningsgang for, hvad du må notere (bilag 4), forretningsgang for opbevaring og sletning af filer på drev (bilag 5), forretningsgang for brud på persondatasikkerheden (bilag 6), arbejdsbeskrivelse for håndtering af databrud (arbejdsbeskrivelse for håndtering af databrud (bilag 7), forretningsgang for klassifikation af personoplysninger og bilag hertil (bilag 8 og 9), IT’s brug af forretningsgangen for klassifikation af personoplysninger (bilag 10), E-learning: Awareness om databrud (bilag 11), uddrag af e-learningsmateriale: Behandling af personoplysninger i Sydbank (bilag 12) og Pop-up besked og advarsel og modtagere uden for organisationen (bilag 13).

Sydbank har indledningsvist oplyst, at banken forud for maj 2018 begyndte at arbejde målrettet med databeskyttelsesforordningen i organisationen, og at der siden har været et stort fokus på databrud. Der er etableret en afdeling, hvor driften af GDPR er forankret, og som bl.a. håndterer alle bankens databrud. Der er i den forbindelse etableret en kontrol, således at det sikres, at alle brud er risikovurderet korrekt.

Sydbank justerede i 2021 sin indberetningsprocedure vedrørende databrud, hvilket har resulteret i flere anmeldelser til Datatilsynet. Det skyldes en ændret risikovurdering af, hvornår et databrud bør anmeldes. Det er i den forbindelse vurderet, at et databrud, der medfører brud på fortroligheden i henhold til lov om finansiel virksomhed, i princippet burde anmeldes til Datatilsynet. Det omfatter også brud, der vedrører få, ikke-følsomme personoplysninger, herunder f.eks. en utilsigtet videregivelse af oplysninger om, at en person (angivet ved for- og efternavn) er kunde i banken. Sydbank vil dog fortsat foretage en helhedsvurdering ud fra bruddets omfang, sammenhæng og formål.

Sydbank har oplyst, at forretningsgangen for sikker kommunikation beskriver, hvordan kommunikation håndteres på sikker vis i banken, og at fokus er på, hvad der skal gøres, når der kommunikeres eksternt. Det bygger på en risikobaseret tilgang, der sikrer, at jo højere risikoen er, jo bedre skal sikkerheden være omkring transmissionen.

Forretningsgangen for hvad der må noteres hjælper rådgiverne med at noteret oplysninger om kunderne på den mest hensigtsmæssige måde, og der er månedlig kontrol med stikprøver for at sikre, at retningslinjerne bliver overholdt.

Forretningsgangen for opbevaring og sletning på drev skal sikre, at oplysninger opbevares på rettes sted og dermed også, at risikoen for databrud minimeres.

Forretningsgangen for håndtering af brud beskriver, hvad et databrud er, ligesom proceduren for orientering af GDPR-afdelingen beskrives. Der er endvidere en arbejdsbeskrivelse, som skal sikre en konsistens behandling af bruddene i GDPR-afdelingen.

I forbindelse med overvejelser om risikoen for utilsigtet videregivelse af oplysninger, herunder oplysninger af fortrolig karakter, har Sydbank oplyst, at den som finansiel virksomhed er underlagt fortrolighed efter lov om finansiel virksomhed, og det derfor er en del af dens fundament at arbejde med fortrolighed. Håndtering af fortrolige oplysninger er en indgroet del af arbejdet for bankens medarbejdere, og arbejdet med fortrolighed er derfor også inkorporeret i GDPR-arbejdet.  Det sker bl.a. ved at arbejde med dataklassifikation, der har til formål at tydeliggøre for medarbejderne de risici og konsekvenser, der er forbundet med forskellige kategorier af oplysninger. Dataklassifikationen benyttes bl.a. også af IT-afdelingen til at vide, om en given personoplysning kræver et særligt fokus, herunder vedrørende sikkerhedsforanstaltninger. Dataklassifikationen er også inkorporeret i de forretningsgange, der instruerer medarbejderne i, hvordan de vælger den korrekte kommunikationskanal i forhold til de oplysninger, der sendes ud af banken, idet det kræver mere agtpågivenhed og sikkerhed jo højere oplysninger er klassificeret.

Sydbank har videre oplyst, at der siden 2018 er indført flere tiltag med fokus på at forebygge brud på persondatasikkerheden, og at dette skal ses i sammenhæng med, at banken løbende har oplyst medarbejderne om, at alle brud skal indberettes til GDPR-afdelingen. Her logges bruddene, og der dannes statistik herover, som anvendes til at analysere bruddene med henblik på, at der kan sættes ind med forskellige tiltag af både teknisk og organisatorisk karakter, hvor det skønnes nødvendigt.

Som eksempler på organisatoriske tiltag har Sydbank oplyst, at der i månederne omkring maj 2018 blev gennemført awareness kampagner, bl.a. med et site om persondata og nyheder på bankens intranet. Der var endvidere afsat en dag til GDPR-undervisning på den årlige lederkonference i marts 2018, og efterfølgende blev alle medarbejdere uddannet gennem e-learning, hvor de også blev instrueret i, hvordan et brud identificeres og håndteres.

Det er en del af Sydbanks årshjul, at der gennemføres uddannelse i databeskyttelse, herunder med fokus på databrud. Der har været gennemført e-learning for hele organisationen i 2018, 2019, 2020 og i 2021. Som et supplement til e-learning har GDPR-afdelingen i samarbejde med DPO’en ad flere omgange været rundt i alle bankens decentrale områder med GDPR-uddannelse. Alle områdernes databrud med taget med, så der var mulighed for at få en konkret snak i de respektive områder. I flere tilfælde har statistikken vist, at der har været særlige typer af brud i bestemte afdelinger, og GDPR-afdelingen har derfor haft et særskilt fokus på sådanne situationer. Det har f.eks. ført til en dedikeret indsats i bestemte områder, der har resulteret i en markant reducering i antallet af brud i området.

Udover ovennævnte organisatoriske tiltag har Sydbank også oplyst om en række tekniske foranstaltninger, der har til formål at mindske antallet af brud som følge af utilsigtet videregivelser og de risici, der er forbundet hermed, f.eks. automatisk sletning af gamle mails, pop-up-notifikationer, når en e-mail med vedhæftede filer sendes til eksterne e-mailadresser, og ved at erstatte de sidste fire cifre i kundernes personnumre med XXXX i bankens dokumenter.

Sydbank har i forhold til overvejelser om yderligere organisatoriske og tekniske foranstaltninger oplyst, at GDPR-afdelingen fortsat vil udarbejde analyser af skete databrud, således at der kan sættes ind med både generelle og specifikke tiltag i forhold til enkelte områder eller afdelinger. Banken har allerede planlagt flere awarenes-tiltag for 2022, ligesom der er overvejelser om fjernelse af automatisk udfyldning af e-mailadresser og indførelse af en Data Loss Prevention-løsning til at screene e-mails og vedhæftninger for visse oplysninger, herunder personnumre.

Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af al vejlednings- og uddannelsesmateriale – på det foreliggende grundlag tilsynets vurdering, at Sydbank overordnet set har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder oplysninger af fortrolig karakter, særligt i relation til økonomiske oplysninger.

Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra Sydbank, herunder, at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at Sydbank har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der er stort fokus på undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag, der bl.a. har til formål at skabe sikre kommunikationsveje mellem bankens medarbejdere og kunder.

Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 24. november 2021 ikke ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Sydbank. Datatilsynet har dog noteret, at Sydbank i 2021 justerede sin indberetningsprocedure vedrørende databrud, hvilket har resulteret i flere anmeldelser til Datatilsynet. Idet der således fortsat anmeldes en del brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at banken fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.

Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)