Datatilsynet har udtalt kritik i en sag, hvor Digitaliseringsstyrelsen havde anmeldt et brud på persondatasikkerheden til tilsynet.
Digitaliseringsstyrelsen gav ved en fejl 26 kuratorer adgang til de forkerte virksomheders digitale postkasser. Fejlen skyldtes formentlig, at linjerne med cvr-numre var blevet forskudt på den liste, styrelsen havde sendt til deres leverandør e-Boks.
Under sagens behandling gjorde Digitaliseringsstyrelsen gældende, at styrelsen ikke tidligere havde oplevet, at der var sket fejl i udarbejdelsen af den pågældende liste. Efter hændelsen indførte styrelsen en procedure, hvor en ekstra medarbejder gennemgår listerne for fejl, inden de sendes til leverandøren, for at minimere risikoen for fejl.
Datatilsynet fandt, at Digitaliseringsstyrelsen – ved ikke at have indført foranstaltninger til at sikre, at listerne var korrekte, og – efter det oplyste – alene at have baseret sikkerheden på, at der ikke tidligere var sket menneskelige fejl – ikke havde levet op til reglerne med behandlingssikkerhed.
Afgørelsen er interessant, fordi den viser, at det ikke er nok at basere sin sikkerhed på, at der ikke tidligere er sket menneskelige fejl, da det er alment kendt, at menneskelige fejl sker, hvorfor sikkerhed ikke – alene – kan baseres på en tiltro til, at mennesker ikke begår fejl.
Vil du vide mere?
Læs selve afgørelsen her.
Læs mere om sikkerhed.