Journalnummer: 2021-41-0137.
Vestjysk Bank A/S (herefter Vestjysk Bank) var blandt de virksomheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på, om Vestjysk Bank foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, og artikel 33, stk. 5, herunder bankens processer for håndtering og registrering af brud på persondatasikkerheden. Tilsynet var baseret på vurdering af stikprøver blandt ikke-anmeldte brud samt oplysninger om retningslinjer, procedurer og uddannelsesaktiviteter mv.
Tilsynet blev ved brev af 24. november 2021 varslet over for Vestjysk Bank, og banken blev ved samme lejlighed anmodet om at besvare en række spørgsmål. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Vestjysk Bank havde anmeldt væsentlig færre brud på persondatasikkerheden pr. ansat i pengeinstituttet end øvrige pengeinstitutter.
Ved brev af 19. januar 2022 sendte Vestjysk Bank en udtalelse, hvor banken svarede på Datatilsynets spørgsmål. Bankens svar var endvidere vedlagt procesbeskrivelser og retningslinjer, som banken anvender for at efterleve databeskyttelsesforordningens artikel 33.
Resumé
Datatilsynet indledte i sommeren og efteråret 2021 skriftlige tilsyn med otte større kommuners og otte større bankers håndtering af brud på persondatasikkerheden.
Tilsynene var tilrettelagt således, at kommunerne og bankerne blev inddelt i to grupper – dem, der havde anmeldt henholdsvis flest og færrest brud i forhold til henholdsvis kommunens indbyggertal og antal ansatte i banken.
"En af de nye ting, der kom med GDPR for godt fem år siden var, at de dataansvarlige som udgangspunkt skal anmelde alle brud på persondatasikkerheden til Datatilsynet inden for 72 timer, ligesom de internt skal dokumentere alle brud på persondatasikkerheden, uanset om de skal anmeldes til Datatilsynet eller ej. Derudover er der kommet et skærpet fokus på, hvad virksomheder og myndigheder skal overveje, når kundernes eller borgernes oplysninger ved en fejl bliver håndteret forkert," fortæller Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet og fortsætter:
"Det kan f.eks. føre til, at der er behov for at indføre nye eller yderligere sikkerhedsforanstaltninger for at nedbringe risikoen for yderligere brud. Derfor har vi nu givet området et serviceeftersyn, hvor vi har set på procedurerne og taget nogle stikprøver. Konklusionen er i store træk, at der hos de 16 udvalgte kommuner og banker ser ud til at være det rette fokus på at efterleve reglerne."
Gruppen med flest anmeldte brud
For gruppen med flest anmeldte brud fokuserede tilsynene bl.a. på, om kommunerne og bankerne havde truffet passende sikkerhedsforanstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der var sket uautoriseret videregivelse af personoplysninger i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder mv., herunder i relation til borgere med navne- og adressebeskyttelse og økonomiske oplysninger.
Efterlevelse af reglerne om passende behandlingssikkerhed vil normalt indebære, at:
- Den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab. Den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv.
- Procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet fandt på det foreliggende grundlag, at alle de dataansvarlige havde truffet passende sikkerhedsforanstaltninger. Datatilsynet lagde ved vurderingen heraf vægt på, at:
- Der var udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager.
- De har gjort sig overvejelser og løbende indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud.
- Der er stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger, hvilket både understøttes ved hjælp af forretningsgange, løbende vejledning mv. og systemmæssige tiltag mv.
Gruppen med færrest anmeldte brud
For gruppen med færrest anmeldte brud fokuserede tilsynene på, om kommunerne og bankerne foretager anmeldelse af og dokumenterer brud på persondatasikkerheden i overensstemmelse med kravene i databeskyttelsesforordningen, herunder deres processer for håndtering og registrering af brud på persondatasikkerheden.
Datatilsynet udtalte i disse sager, at det er tilsynets opfattelse, at efterlevelse af reglerne om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet inden for 72 timer, indebærer, at:
- Den dataansvarlige skal etablere passende procedurer og retningslinjer, som skal sikre, at brud bliver opdaget og behandlet korrekt.
- Den dataansvarlige skal i den forbindelse sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med interne procedurer for håndtering af brud på persondatasikkerheden, og at relevante medarbejdere kan identificere, håndtere og vurdere brud på persondatasikkerheden.
Datatilsynet fandt, at alle de dataansvarlige overordnet set har vedtaget passende procedurer og retningslinjer mv. og har gennemført passende uddannelsesaktiviteter, som kan understøtte overholdelsen af kravene i databeskyttelsesforordningen om anmeldelse af brud på persondatasikkerheden. Dermed kan de sikre, at brud på persondatasikkerheden opfanges i organisationen, sådan at disse kan blive vurderet med henblik på, om bruddet skal anmeldes til Datatilsynet, ligesom der kan foretages dokumentation af bruddene, herunder bl.a. begrundelsen herfor, hvis de ikke anmeldes til Datatilsynet.
Datatilsynet bemærkede dog i forhold til alle tilsynene, at Datatilsynet ikke som led i tilsynet havde haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder indholdet af f.eks. løbende awarenessindsatser.
Herudover udtalte Datatilsynet, at reglen om, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger, bl.a. skal sikre, at Datatilsynet skal kunne kontrollere, at bestemmelsen om anmeldelse af brud på persondatasikkerheden er overholdt. De dataansvarlige bør derfor dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.
Kritik i to sager
Der er som anført udtalt kritik i to af sagerne – og de omhandler netop, at to kommuner ikke havde dokumenteret alle brud på persondatasikkerheden.
I den ene sag har Datatilsynet udtalt alvorlig kritik af, at Roskilde Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i perioden fra den 25. maj 2018 til september 2019, og at kommunen ikke kan dokumentere, hvorvidt de registrerede sikkerhedshændelser siden september 2019 udgør egentlige brud på persondatasikkerheden.
I den anden sag har Datatilsynet udtalt kritik af, at Frederikshavn Kommune ikke har dokumenteret, hvor mange brud på persondatasikkerheden kommunen har konstateret i 2018.
Datatilsynet bemærker, at listen over brud – udover at tjene som dokumentation over for Datatilsynet – også bør bruges af den dataansvarlige til bl.a. at få overblik over, hvilke brud der typisk sker i organisationen, og til den på den baggrund at overveje, om der ud fra en risikovurdering er behov for at iværksætte nye eller supplerende foranstaltninger for at undgå eller nedbringe risikoen yderligere brud. Det fremgår også af de modtagne høringssvar, at flere af de dataansvarlige aktivt anvender listerne til dette formål.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet anledning til sammenfattende at konkludere, at Vestjysk Bank overordnet set har vedtaget passende procedurer og retningslinjer og har gennemført passende uddannelsesaktiviteter for at opfange og behandle brud på persondatasikkerheden korrekt, jf. databeskyttelsesforordningens artikel 33.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
2.1. Relevante retsregler
Et brud på persondatasikkerheden er i databeskyttelsesforordningens artikel 4, nr. 12, defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Det følger af databeskyttelsesforordningens artikel 33, stk. 1, at ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden, anmelde dette til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55 (Datatilsynet), medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, skal den ledsages af en begrundelse for forsinkelsen.
Det er Datatilsynets opfattelse, at kravet i artikel 33 om, at brud på persondatasikkerheden som udgangspunkt skal anmeldes til Datatilsynet inden for 72 timer, indebærer, at den dataansvarlige skal etablere passende procedurer og retningslinjer, som skal sikre, at brud bliver opdaget og behandlet korrekt. Den dataansvarlige skal i den forbindelse sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med interne procedurer for håndtering af brud på persondatasikkerheden, og at relevante medarbejdere kan identificere, håndtere og vurdere brud på persondatasikkerheden.
Det følger endvidere af databeskyttelsesforordningens artikel 33, stk. 5, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden (Datatilsynet) i stand til at kontrollere, at bestemmelsen er overholdt.
I Datatilsynets vejledning fra februar 2018 om håndtering af brud på persondatasikkerheden er det på side 27 anført, at kravene til dokumentation kan opstilles således:
- Dato og tidspunkt for bruddet.
- Hvad skete der i forbindelse med bruddet?
- Hvad er årsagen til bruddet?
- Hvilke (typer) personoplysninger er omfattet af bruddet?
- Hvilke konsekvenser har bruddet for de berørte personer?
- Hvilke afhjælpende foranstaltninger er truffet?
- Hvorvidt – og i givet fald hvordan – der er sket anmeldelse til Datatilsynet? Hvorfor/hvorfor ikke?
Den dataansvarlige bør således dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.
2.2. Vurdering af ikke-anmeldte brud
Vestjysk Bank har på Datatilsynets anmodning redegjort for de tre første brud på persondatasikkerheden, som er sket i 2021, og som banken har undladt at anmelde til Datatilsynet.
Den første hændelse angik, at der i forbindelse med et databrud hos BEC Financial Technologies ikke blev videregivet oplysninger til Vestjysk Bank om eventuel adressebeskyttelse for eksisterende kunder, der var blevet tildelt et nyt personnummer. Det skyldes, at når en kunde skiftede cpr-nummer, blev vedkommende ikke tilmeldt CPR-overvågning, hvorved BEC og dermed heller ikke banken modtog oplysninger om en eventuel registrering af navne- og adressebeskyttelse. Der kunne derved være risiko for, at banken ikke behandlede kunden som adressebeskyttet. Det havde primært betydning, når en kunde selv foretog bankoverførsler, idet kundens adresseoplysninger medsendes, hvis adressen ikke er beskyttet. Banken afdækkede, at der var fire berørte kunder. Efter en gennemgang af de berørte kunder kunne Vestjysk Bank konstatere, at tre kunder ikke havde aktive konti, hvorved der ikke kunne være foretaget overførsler, hvor adresseoplysninger fejlagtigt var medsendt, og at den fjerde kunde med en aktiv konto ikke havde adressebeskyttelse. Den anden hændelse angik, at banken via BEC blev orienteret om, e-Boks i perioden mellem den 8. og 11. februar 2021 havde en systemfejl, der medførte, at post, der blev videresendt fra e-Boks, kunne tilgås af en forkert modtager. Vestjysk Bank fik ved kontakt til e-Boks afdækket, at der var to berørte fremsendelser. En undersøgelse af indholdet viste, at dokumenterne ikke indeholdte personoplysninger. Den tredje hændelse angik, at en medarbejder ved en fejl fremsendte et excel-ark, der indeholdte 79 personnumre og dertilhørende kundenumre, til en modtagerliste bestående af en række kunder. Vestjysk Bank konstaterede herefter, at 22 kunder havde åbnet beskeden, inden Vestjysk Bank slettede beskeden hos de resterende modtagere. Banken kunne ikke se, om kunderne havde åbnet den vedhæftede fil. Vestjysk Bank har ved sin vurdering af bruddets karakter lagt vægt på, at personerne, hvis personnumre er blevet videregivet, ikke kan identificeres ved navn eller adresse mv., og at banken har tillid til modtagerne, herunder at de efter anmodning har slettet beskeden.
Datatilsynet finder ikke, at de to første hændelser udgør et brud på persondatasikkerheden. Datatilsynet har herved lagt vægt på, at det anmeldte ikke udgør et brud på etablerede sikkerhedsforanstaltninger, der har ført til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. definitionen i databeskyttelsesforordningens artikel 4, stk. 1, nr. 12.
Datatilsynet finder ikke grundlag for at tilsidesætte Vestjysk Banks vurdering af, at den tredje hændelse kan karakteriseres som brud på persondatasikkerheden, jf. databeskyttelsesordningens artikel 4, nr. 12, men at den ikke er omfattet af pligten til at foretage anmeldelse.
Datatilsynet finder således ikke grundlag for at tilsidesætte vurderingen af, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1.
Datatilsynet har herved særligt lagt vægt på, at privatpersoner almindeligvis ikke ud fra de fremsendte oplysninger (cpr-nummer, kundenummer og oplysning om at de var kunde Vestjysk Bank) ville kunne identificere kunderne. Vestjysk Bank har endvidere henvist til, at oplysningerne er endt hos modtagere, som banken har tillid til, og som forventes at ville destruere oplysningerne efter bankens instruks. Vestjysk Bank har i den forbindelse henvist til Datatilsynets vejledning om håndtering af brud på persondatasikkerheden, hvori det er anført, at hvis oplysninger er endt hos en modtager, som den dataansvarlige har stor tillid til og forventer vil tilbagelevere eller destruere oplysningerne efter instruks fra den dataansvarlige, vil dette kunne føre til, at den dataansvarlige vurderer, at der ikke er konsekvenser forbundet med videregivelsen, og at der derfor ikke skal ske anmeldelse til Datatilsynet. Det fremgår ligeledes af vejledningen, at den dataansvarlige bør være sikker i sin sag, når modtagerens troværdighed tillægges betydning for denne vurdering. Datatilsynet bemærker i den forbindelse, at det er tilsynets opfattelse, at et almindeligt kundeforhold mellem en bank og dens kunder ikke i sig selv skaber en sådan troværdighed hos modtageren, at det uden videre kan lægges til grund, at bruddet ikke indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder.
2.3. Dokumentation, procedurer og uddannelse af medarbejderne
Vestjysk Bank har i udtalelsen af 19. januar 2022 oplyst, at der siden den 25. maj 2018 og frem til den 19. januar 2022 er konstateret i alt 62 brud på persondatasikkerheden, hvortil Vestjysk Bank har oplyst, at dette også omfatter brud hos Den Jyske Sparekasse, som Vestjysk Bank fusionerede med i starten af 2021.
Det fremgår derudover af udtalelsen af 19. januar 2021 og de vedlagte bilag, at Vestjysk Bank bl.a. har fastlagt procedurer for, hvortil og hvordan brud på persondatasikkerheden skal indberettes internt i organisationen, hvem medarbejderne kan rette henvendelse til med spørgsmål om brud, hvem der har ansvaret for at varetage opgaverne med at modtage, håndtere og vurdere brud samt at foretage anmeldelse til Datatilsynet.
Det fremgår endvidere, at Vestjysk Bank har udarbejdet forretningsgange og gennemført en række aktiviteter for at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de vil kunne identificere og håndtere eventuelle brud på persondatasikkerheden.
Vestjysk Bank har derudover redegjort for, hvilke kriterier der indgår i kommunens vurdering af, om et brud på persondatasikkerheden skal anmeldes til Datatilsynet.
Det er på baggrund af det fremsendte materiale, herunder oplysningerne om de ikke anmeldte brud fra 2021, Datatilsynets umiddelbare vurdering, at Vestjysk Bank overordnet set har vedtaget passende procedurer og retningslinjer mv. og har gennemført passende uddannelsesaktiviteter, som kan understøtte overholdelsen af kravene i databeskyttelsesforordningens artikel 33, og som dermed kan sikre, at brud på persondatasikkerheden opfanges i organisationen, sådan at disse kan blive vurderet med henblik på, om bruddet skal anmeldes til Datatilsynet, ligesom der kan foretages dokumentation af bruddene, herunder bl.a. begrundelsen herfor hvis de ikke anmeldes til Datatilsynet.
Det bemærkes, at Datatilsynet ikke som led i tilsynet har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af uddannelsesmaterialet, herunder indholdet af f.eks. løbende awarenessindsatser.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)