Brud på persondatasikkerheden hos Datatilsynet

Publiceret 20-08-2020
Nyhed

Datatilsynet har konstateret, at en mængde af tilsynets papiraffald, som skulle have været makuleret, i en periode har været bortskaffet som almindeligt papiraffald.

Datatilsynet er i starten af august blevet opmærksom på et brud på persondatasikkerheden på tilsynets egne lokaler i Valby.

Sagen omfatter fysiske dokumenter, som kan have indeholdt fortrolige og følsomme oplysninger om borgere, medarbejdere m.m. Der er tale om materiale, som ellers opbevares elektronisk i Datatilsynets systemer, men som i forbindelse med tilsynets sagsbehandling er blevet printet af tilsynets medarbejdere, når de f.eks. har skullet drøfte en sag internt i tilsynet eller læse korrektur på et udkast til et brev eller et notat. Materialet er herefter blevet smidt ud i en beholder i den tro, at dette papiraffald ville blive makuleret. En medarbejder fra Datatilsynet har imidlertid konstateret, at det i stedet er blevet bortskaffet som almindeligt papiraffald. Det indebærer, at papiraffaldet har været opbevaret i en container i et aflåst affaldsrum, som bygningens servicepersonale og det vognmandsfirma, der har hentet affaldet og kørt det til genbrug, har haft adgang til.

"Det er dybt beklageligt. Vi stiller høje krav til både virksomheder og andre myndigheder om at passe godt på danskernes personoplysninger, og derfor er det meget uheldigt, at vi selv ikke har skilt os af med denne del af Datatilsynets papiraffald på en passende måde, siger Mia Staal Klintrup, som er databeskyttelsesrådgiver i Datatilsynet, og tilføjer:

"Intet tyder på, at papiraffaldet er kommet i de forkerte hænder, og det er vi lettede over, men det ændrer ikke på, at sådan en fejl ikke må ske. Derfor har vi nu gennemgået vores retningslinjer og indskærpet procedurerne, ligesom vi selvfølgelig har sørget for, at papiraffaldet fremover bliver håndteret korrekt."

Bruddet har stået på i perioden fra februar, hvor Datatilsynet flyttede til nye lokaler, til august, hvor en medarbejder blev opmærksom på problemet. Fra midten af marts til midten af juni har problemstillingen dog ikke været aktuel, da alle medarbejdere i denne periode arbejdede hjemmefra grundet COVID-19. Der er ingen indikationer på, at personoplysninger skulle være kommet uvedkommende i hænde.

Hvad er der sket?

Da Datatilsynet flyttede ind i de nuværende lokaler i Valby i februar, blev der stillet krav om en beholder til papiraffald, der skal makuleres, ligesom der var i tilsynets tidligere lokaler i Borgergade. Beholderen skulle bruges til materiale, der kunne indeholde personoplysninger om borgere, medarbejdere o.l. En beholder til makulering blev imidlertid ikke stillet op, hvilket der også i første omgang blev fulgt op på, men grundet interne misforståelser blev en beholder til almindelig papiraffald derefter markeret som makuleringsspand, uden at den ansvarlige medarbejder fik tjekket op på, at der nu også var tale om en sådan makuleringsspand. Beholderen er blevet tømt 2-3 gange om ugen, hvorefter papiraffaldet er blevet opbevaret i en container i et aflåst skralderum. Indholdet af rummets to papircontainere er blevet afhentet tirsdage og fredage, hvorefter papiret er blevet kørt til genanvendelse - typisk til pap, avispapir o.l.

Hvad har Datatilsynet gjort efterfølgende?

  • Fra den dag, hvor bruddet blev konstateret, er Datatilsynets papiraffald blevet bortskaffet på den tilsigtede måde.
  • Bruddet på persondatasikkerheden er blevet indberettet gennem den samme løsning, som alle andre dataansvarlige bruger, når de konstaterer brud på persondatasikkerheden. Anmeldelsen skete knap et døgn for sent i forhold til det krav, Datatilsynet stiller, om underretning inden for højst 72 timer. Dette er i sig selv meget uheldigt og er blevet påtalt over for den medarbejder, som havde ansvaret for at anmelde det konkrete brud.
  • Datatilsynet overvejer spørgsmålet om evt. underretning af de registrerede.
  • Datatilsynet har gennemgået alle procedurer for bortskaffelse af papiraffald og indskærpet retningslinjerne.

Pressekontakt

Journalister er velkomne til at kontakte kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta: Brud på persondatasikkerheden

I Databeskyttelsesforordningen (GDPR) defineres et brud på persondatasikkerheden således:

"Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."

Den dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer foretage anmeldelse af bruddet til Datatilsynet via Virk.dk, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

I 2019 modtog Datatilsynet 7.242 underretninger om brud på persondatasikkerheden.