Anmeldelser om brud på persondatasikkerheden hos PFA Pension

Publiceret 16-05-2019
Afgørelse Private virksomheder

På baggrund af en række underretninger om brud på persondatasikkerheden fra PFA Pension tog Datatilsynet en sag op af egen drift og udtaler nu kritik.

Journalnummer: 2019-431-0021

Resumé

På baggrund af, at PFA Pension pr. 8. februar 2019 havde anmeldt 66 brud på persondatasikkerheden til Datatilsynet, opstartede Datatilsynet af egen drift en sag over for PFA Pension. Ved afgørelse af 16. maj udtaler Datatilsynet kritik af, at PFA Pensions behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32.

Efter en nærmere gennemgang af de modtagne anmeldelser har Datatilsynet konstateret, at 62 ud af 66 anmeldelser vedrører utilsigtet videregivelse af personoplysninger i forbindelse med fremsendelse af dokumenter via kommunikationsløsningen ”Mit PFA”, e-Boks, med brevpost eller lignende. PFA Pension har oplyst, at de 66 brud på persondatasikkerheden udgør en relativt lille andel af den samlede kommunikation med virksomhedens kunder, men at antallet desuagtet er for højt. PFA Pension har hertil oplyst, at cirka 270.000 kunder årligt modtager elektroniske eller fysiske svar fra PFA Pension som følge af deres henvendelse, og at de anmeldte brud på persondatasikkerheden alene vedrører 0,3 promille af den samlede kommunikation med selskabets kunder.

På trods af Datatilsynets kritik af PFA Pension noterer tilsynet sig samtidig, at PFA Pension løbende monitorerer det etablerede sikkerhedsniveau, og at selskabet på baggrund af de passerede brud allerede inden tilsynets henvendelse tog skridt til at implementere yderligere sikkerhedsforanstaltninger for at styrke behandlingssikkerheden.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet har anmodet PFA Pension om en udtalelse i forbindelse med, at selskabet pr. 8. februar 2019 har anmeldt 66 brud på persondatasikkerheden til tilsynet, navnlig vedrørende utilsigtet videregivelse af personoplysninger.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at PFA Pensions behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagens omstændigheder

Efter en gennemgang af de af Datatilsynet modtagne anmeldelser af brud på persondatasikkerheden, har tilsynet kunnet konstatere, at PFA Pension pr. 8. februar 2019 har anmeldt 66 brud på persondatasikkerheden til tilsynet.

Datatilsynet har på baggrund af en nærmere gennemgang af de modtagne anmeldelser kunnet konstatere, at 62 ud af 66 anmeldelser vedrører utilsigtet videregivelse af personoplysninger i forbindelse med fremsendelse af dokumenter via kommunikationsløsningen ”Mit PFA”, e-Boks, med brevpost eller lignende.

Som svar på Datatilsynets anmodning af 18. februar 2019 er PFA Pension den 4. marts 2019 fremkommet med en udtalelse vedrørende de anmeldte brud på persondatasikkerheden.

PFA Pension har overordnet anført, at de 66 brud på persondatasikkerheden vedrørende utilsigtet videregivelse af kunders personoplysninger – efter PFA Pensions egen opfattelse – udgør en relativt lille andel af den samlede kommunikation med virksomhedens kunder, men at antallet desuagtet er for højt.

PFA Pension har hertil oplyst, at omkring 270.000 kunder årligt modtager elektroniske eller fysiske svar fra PFA Pension som følge af deres henvendelse, og at de anmeldte brud på persondatasikkerheden alene vedrører 0,3 promille af den samlede kommunikation med selskabets kunder.

PFA Pension har endvidere oplyst, at antallet af brud på persondatasikkerheden som følge af utilsigtet videregivelse fordeler sig med 36 utilsigtede videregivelser via kommunikationsløsningen Mit PFA, 17 utilsigtede videregivelser via forsendelser med brevpost og 13 utilsigtede videregivelser ved brug af andre kommunikationsløsninger (e-signatur, e-mail, e -Boks, upload til Ankenævnsportal og oplysninger sendt via bank). Fire af de utilsigtede videregivelser via brevpost er sket i forbindelse med PFA Pensions besvarelse af indsigtsanmodninger.

Herudover har PFA Pension oplyst, at selskabet den 7. februar 2019 – som følge af de skete brud på persondatasikkerheden – besluttede at indføre ekstra kontrolforanstaltninger ved kommunikation med kunder via Mit PFA, hvorefter medarbejderne aktivt skal ”afkrydse”, at det vedhæftede dokument er kontrolleret for rette modtager inden afsendelse. PFA Pensions anvendte modulbreve via Word vil desuden blive integreret med kundekommunikationen via Mit PFA med henblik på at sikre, at besked og dokument stiles til den samme kunde. PFA Pension forventer, at disse tiltag, som forventes implementeret inden udgangen af april 2019, vil reducere antallet af brud på persondatasikkerheden væsentligt.

Ved besvarelse af indsigtsanmodninger med brevpost har PFA Pension over for medarbejderne indskærpet det eksisterende krav om ”makker kontrol”; altså at en kollega skal kontrollere forsendelsen, inden dokumenterne sendes. Efter indskærpelsen har selskabet ikke konstateret yderligere brud på persondatasikkerheden i denne proces.

PFA Pension har i forlængelse heraf oplyst, at selskabet håndterer fysiske forsendelser ved automatisk kuvertering, der medvirker til at minimere risikoen for, at kundebreve indeholder personoplysninger om andre end den person, som brevet er tiltænkt. På trods af automatisk kuvertering pakkes et betydeligt antal fysiske forsendelser også manuelt af medarbejderne (ca. 82.500 årligt). PFA Pension har indskærpet, at medarbejderne skal være omhyggelige i forbindelse med pakning af breve.

Herudover har PFA Pension oplyst, at selskabet i forbindelse med implementeringen af databeskyttelsesforordningen har udarbejdet politikker, forretningsgange og arbejdsgange samt gennemført undervisning i forretningsområderne med henblik på, at medarbejderne får kendskab til de databeskyttelsesretlige regler, herunder i hvordan personoplysninger skal håndteres, og hvordan der kommunikeres sikkert med kunder. Alle PFA Pensions medarbejdere skal årligt gennemføre et e-learningskursus, og det vil i næstkommende kursus vil blive fremhævet, at medarbejderne skal være omhyggelige i forhold til at sikre, at materiale sendes til rette modtager, ligesom kurset bliver suppleret med eksempler på brud på persondatasikkerheden, som medarbejderne skal være særligt opmærksomme på.

Endelig har PFA Pension oplyst, at alle medarbejdere har adgang til selskabets gældende politikker, forretningsgange og arbejdsgange vedrørende databeskyttelse.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet finder, at PFA Pensions behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved navnlig lagt vægt på, at PFA Pension i perioden fra den 25. maj 2018 til den 8. februar 2019 har anmeldt 66 brud på persondatasikkerheden til tilsynet, hvor PFA Pension ved en fejl har videregivet personoplysninger om kunder til forkerte modtagere, hvoraf den utilsigtede videregivelse i 62 af tilfældene er sket ved vedhæftning af forkert(e) dokument(er) eller fremsendelse af dokumenter til forkert modtager i forbindelse med fremsendelse via kommunikationsløsningen ”Mit PFA”, e-Boks, med brevpost eller lignende.

Datatilsynet har endvidere lagt vægt på PFA Pensions egen vurdering af, at antallet af brud på persondatasikkerheden er for højt, og at selskabet har kunnet indføre yderligere relativt mindre tekniske og organisatoriske foranstaltninger med henblik på at sikre et mere passende sikkerhedsniveau.

Herunder har Datatilsynet lagt vægt på, at PFA Pension har truffet disse nye foranstaltninger, herunder bl.a. i forhold til kommunikationsløsningen Mit PFA, hvor medarbejderen skal bekræfte, at det vedhæftede dokument er kontrolleret for rette modtager inden afsendelse, ligesom selskabets anvendte modulbreve via Word teknisk vil blive integreret med kundekommunikationen via Mit PFA med henblik på at sikre, at besked og dokument stiles til samme person.

Herudover har Datatilsynet lagt vægt på, at PFA Pension agter at tage yderligere tiltag i forhold til undervisning af medarbejdere, herunder tilpasse selskabets e-læremateriale således, at det fremhæves, at medarbejderne skal være omhyggelige i forhold til at sikre, at materiale sendes til rette modtager.

Mens Datatilsynet på baggrund af de skete brud på persondatasikkerheden finder, at der er grundlag for at udtale kritik af, at PFA Pensions behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 32, stk. 1, har tilsynet dog tilsvarende noteret sig, at PFA Pension løbende monitorer det etablerede sikkerhedsniveau, og at selskabet på baggrund af de passerede brud allerede inden tilsynets henvendelse tog skridt til at implementere yderligere sikkerhedsforanstaltninger for at styrke behandlingssikkerheden.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).