Fejludlevering af data ved sagsbehandling

Sådanne brud sker bl.a. ved, at dataansvarlige og databehandlere udleverer eller offentliggør dokumenter, som indeholder oplysninger, der ikke skulle være inkluderet. Det kan være, fordi dokumenterne er lagret på et forkert sted i et it-system (f.eks. journaliseret på en forkert sag) og derfor bliver udleveret i forbindelse med anmodninger om aktindsigt, indsigt eller lignende.

Det kan også ske ved, at et dokument ikke bliver tilstrækkeligt pseudonymiseret (bestemte personoplysninger bliver ikke fjernet/slettet), inden dokumentet bliver offentliggjort på internettet eller udleveret i forbindelse med f.eks. anmodninger om aktindsigt eller indsigt.

Fejludlevering af personoplysninger kan endvidere ske ved, at medarbejdere sender e-mails til forkerte modtagere, eller ved at e-mails til den rette modtager indeholder de forkerte personoplysninger. 

• Sørg for at have retningslinjer for intern og ekstern kommunikation, som bl.a. understreger, at medarbejdere skal udvise påpasselighed for at sikre, at de ikke sender e-mails mv. til forkerte modtagere, og at de ikke sender forkerte dokumenter.
• Sørg for at have retningslinjer for at håndtere anmodninger om indsigt og aktindsigt, samt for processen hvor I offentliggør oplysninger på internettet. Retningslinjerne skal bl.a. indeholde en anvisning om, at medarbejdere skal gennemgå materialet manuelt med fokus på at slette/fjerne personoplysninger, inden materialet offentliggøres eller udleveres.
• Hav procedurer for, at et ekstra sæt øjne i visse tilfælde tjekker materialet, inden det sendes eller offentliggøres.
• Hav retningslinjer for, at fejlregistrering af oplysninger i ESDH- og CRM-systemer mv. skal rettes, så snart de opdages, for at undgå at fejlen senere leder til brud på persondatasikkerheden.
• Klassificer dokumenter for at markere de dokumenter, som ikke uden videre må sendes ud af organisationen. Det kan tydeliggøre over for medarbejdere og it-systemer, når der er ved at ske et brud på persondatasikkerheden.
• Anvend værktøjer af typen DLP (Data Leak Prevention). Det er værktøjer, som kan screene for bestemte datatyper i dokumenter mv. og herefter advare eller forhindre, at mails bliver sendt, at data overføres til USB-nøgler, at data uploades til hjemmesider mv.
• Anvend værktøjer til supplerende screening for bestemte typer af personoplysninger i offentliggjorte dokumenter og lignende med henblik på at opdage personoplysninger, der ikke skulle have været offentliggjort.