Der blev særligt fokuseret på de dataansvarliges udbredelse af viden og redskaber sådan, at alle relevante medarbejdere ved, hvordan et brud opfanges og indmeldes til den dataansvarliges kontaktpunkt eller direkte til tilsynet. Derudover blev de dataansvarliges dokumentation gennemgået med henblik på at vurdere, om alle relevante brud var blevet indberettet til Datatilsynet.
Der var udvalgt såvel offentlige virksomheder (fem kommuner, en region, to statslige styrelser og to universiteter), som private dataansvarlige (to fagforeninger, en bank, et forsikringsselskab og et privathospital).
Generelt har det været glædeligt at kunne konstatere, at alle de undersøgte dataansvarlige har haft fokus på opgaven, hvor der i de respektive organisationer var den fornødne viden og rutine, sådan at sikkerhedshændelser blev opfanget og indberettet. Det har vist sig, at de dataansvarlige er gode til at vurdere, hvilke af sikkerhedshændelserne der udgør brud på persondatasikkerheden, og hvilke af disse der udgør en risiko for de registreredes rettigheder.
Der er udtalt kritik i to af sagerne: Begge hændelser var anmeldelsespligtige brud på persondatasikkerheden, der alene var klassificeret som sikkerhedshændelser. Den konkrete vurdering af, om der var tale om en behandling af oplysninger om fysiske personer, var ikke foretaget korrekt af den pågældende aktør.
Et af observationspunkterne for tilsynene har været, at der forekommer adskillige brud på persondatasikkerheden, hvor der ingen risiko er for de registrerede. Forordningens indbyggede bagatelgrænse bliver i den forbindelse hyppigt og korrekt benyttet hos de dataansvarlige. De pågældende brud er derfor heller ikke blevet indberettet til Datatilsynet.
Se de enkelte afgørelser
Vil du vide mere?
Læs Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.