Datatilsynet udtalte i 2020 alvorlig kritik af, at BroBizz' behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 32, stk. 2.
Datatilsynet behandlede i alt tre sager, hvori BroBizz anmeldte, at der i forbindelse med virksomhedens besvarelse af kundehenvendelser blev videregivet oplysninger om personers lokation til uvedkommende.
På baggrund af de anmeldte brud bad Datatilsynet bl.a. BroBizz fremsende deres risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder særligt omhandlende identiteten af fysiske personer, der anmoder om indsigt.
Datatilsynet fandt på baggrund af risikovurderingen, at BroBizz A/S ved vurderingen af, hvilket sikkerhedsniveau der var passende, ikke havde taget tilstrækkeligt hensyn til de risici, som behandlingen udgjorde, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Du kan læse afgørelsen "risikovurdering ved videregivelse af personoplysninger" her.
Du kan også læse mere om risikovurderinger her.