Risikovurdering ved videregivelse af personoplysninger

Publiceret 05-03-2020
Afgørelse Private virksomheder

Efter tre anmeldte brud på persondatasikkerheden har Datatilsynet taget nærmere stilling til behandlingssikkerhed og krav til risikovurderinger.

Journalnummer: 2019-441-3399 

Resumé

Datatilsynet har behandlet tre sager, hvor BroBizz A/S har anmeldt, at der i forbindelse med virksomhedens besvarelse af kundehenvendelser blev videregivet personoplysninger – herunder oplysninger om lokation – til uvedkommende.

På baggrund af de anmeldte brud bad Datatilsynet bl.a. BroBizz fremsende deres risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder særligt omhandlende identiteten af fysiske personer, der anmoder om indsigt.

Datatilsynet finder på baggrund af risikovurderingen, at virksomheden ved vurderingen af, hvilket sikkerhedsniveau der er passende, ikke har taget tilstrækkeligt hensyn til de risici, som behandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Afgørelse

Datatilsynet har den 20. september, 29. november og 12. december 2019 modtaget tre anmeldelser fra BroBizz A/S (herefter BroBizz) om brud på persondatasikkerheden (henholdsvis tilynets j.nr. 2019-441-3399, 2019-441-4055 og 2019-441-4160).

1. Afgørelse

Efter en gennemgang af sagerne finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at BroBizz’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 32, stk. 2.

Datatilsynet finder endvidere grundlag for at meddele BroBizz påbud om at foretage en vurdering af de risici for de registrerede, der er forbundet med den type behandling af personoplysninger, som virksomheden foretager i forbindelse med at sikre identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i forordningens artikel 15-21, jf. artikel 32, stk. 2.

Risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder[2].

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

Fristen for efterlevelse af påbuddet er 4 uger fra dags dato. Datatilsynet skal anmode om senest samme dato at modtage en kopi af den pågældende risikovurdering.

Ifølge databeskyttelseslovens[3] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Herudover finder Datatilsynet, at BroBizz’ behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1 og artikel 34, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1

Den 20. september 2019 anmeldte BroBizz et brud på persondatasikkerheden.

Det fremgår af anmeldelsen, at BroBizz den 17. september 2019 kl. 17:43 blev bekendt med, at en kundeservicemedarbejder den 13. september 2019 havde udleveret personoplysninger om en kunde, herunder oplysninger om lokation, til uvedkommende.

BroBizz oplyste i den forbindelse bl.a. følgende:

”Kundeservicemedarbejder udleverer telefonisk lokationsdata (vedr. brug af BroBizz-sender) til anden person end kunden. Det handler om Person A (kunden) og person B (kæreste til kunden). Person B oplyser person A's telefonummer, og ud fra dette fremsøges person A i vores kundesystem, og oplysninger om 2 passager bekræftes overfor person B. Efterfølgende [den 17. september 2019] kontakter person A BroBizz A/S og oplyser at de er ekskærester, og at person A ikke ønskede disse oplysninger blev udleveret til person B.”

Brobizz oplyste videre, at kundeservicechefen den 20. september 2019 kontaktede den berørte kunde telefonisk og underrettede om hændelsen.

BroBizz er den 24. oktober og 5. november og 12. december 2019 fremkommet med supplerende udtalelser til sagen.

Ved e-mail af 24. oktober 2019 fremsendte BroBizz på Datatilsynets anmodning kopi af virksomhedens risikovurdering vedrørende ”generel verificering af kunder”. Risikovurderingen er underskrevet den 6. august 2019.

Af den fremsendte risikovurdering fremgår det, at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering er ”meget lille”, hvilket er den laveste sandsynlighedsgrad, virksomheden arbejder med.

Det fremgår endvidere, at ”konsekvensen for dig som kunde” er, at ”kundeinfo oplyses til forkert kunde/ej kunde”. Herudover fremgår det af risikovurderingen, at den forebyggende handling med henblik på forebyggelse og minimering af risici er, at ”medarbejder følger instruks/proces”. Afslutningsvis fremgår det af risikovurderingen – under ”udfald af forebyggende handling/årsag til godkendt index” – at, ”der udleveres/behandles ikke data til forkert person/kunde”.

Ved brev af 5. november 2019 fremkom BroBizz med en supplerende udtalelse til sagen. Brobizz oplyste i den forbindelse, at virksomheden havde udarbejdet en proces for generel verificering af kunder, én for verificering af kunder i forbindelse med persondataforespørgsler og en instruks. Virksomheden oplyste videre, at de nævnte procedurer ikke var overholdt i den pågældende sag.  

BroBizz oplyste endvidere, at forskellige medarbejdere har gennemgået e-læring siden den 25. maj 2018, og at medarbejdere i kundeservice introduceres til relevante persondataretlige problemstillinger i forbindelse med deres ansættelsesstart. Løbende uddannelse er foregået på ad hoc basis.

På Datatilsynets anmodning fremsendte BroBizz ved brev af 11. december 2019 en række kopier af virksomhedens specifikke procedurer og instrukser, herunder særligt omhandlende identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 15-21, jf. databeskyttelsesforordningens artikel 12, stk. 6.

Det fremgår af selskabets interne instruks (”BBAS - Verificering af Kunder i BBAS”), at kunder skal oplyse to kundespecifikke oplysninger ud fra en liste på fire typer af oplysninger, der skal sikre, at kunden verificeres før henvendelsen behandles på vanlig vis. I forhold til kundehenvendelser hvor der fremsættes en anmodning, som omhandler den registreredes rettigheder efter databeskyttelsesforordningen, har BroBizz fastsat instruks (”BBAS - GDPR verificering af kunder”). Det fremgår heraf, at kunden ved telefonisk henvendelse anmodes om at foretage sin henvendelse skriftligt, og at teamleder verificerer kunden ud fra kundens fremsendte oplysninger, før der afgives svar. Lignende sikkerhedsforanstaltninger fremgår af bl.a. BroBizz’ informationssikkerhedspolitikker.

BroBizz har endelig oplyst, at det er blevet indskærpet over for den pågældende kundeservicemedarbejder, at fremsendelse af oplysninger skal ske ved brug af selskabets interne processor, og at relevante medarbejdere er blevet yderligere vejledt i, hvordan interne instrukser efter databeskyttelsesforordningen skal efterleves fremadrettet.

2.2

Ved brev af 29. november 2019 har BroBizz anmeldt endnu et brud på persondatasikkerheden.

Det fremgår af anmeldelsen, at BroBizz den 27. november 2019 blev bekendt med, at en kundeservicemedarbejder den 15. november 2019 – på anmodning af ForSea Helsingborg AB på vegne af Kunde A – ved en fejl opdaterede Kunde A’s e-mailadresse med Kunde B’s e-mailadresse, og efterfølgende fremsendte en ny kode til den opdaterede e-mailaresse, hvorefter Kunde A havde adgang til Kunde B’s konto.

BroBizz har i den forbindelse oplyst:

”ForSea Helsingborg AB kontakter BroBizz A/S på vegne af en af deres kunde A med henblik på at få ændret kunden As mailadresse hos Brobizz A/S. Brobizz A/S og kunde A har indgået aftale om udstedelse af en Autobizz som kan benyttes til betaling af færgeoverfarter. I forbindelse med opdatering af kunde As mailadresse anmoder ForSea Helsingborg AB også om at kunde A får tilsendt en ny adgangskode til Brobizz A/S "Min Konto". Da Forsea opfylder BroBizz' interne krav for verifikation af kunder opdaterer medarbejderen det han tror er kunde As konto med den nye mailadresse. Der sker imidlertid her en manuel fejl idet Brobizz medarbejderen opdaterer en anden kundes konto med kunde As mailadresse. Derefter udsendes der en ny kode til den opdaterede mailadresse hvorefter kunde A har adgang til den anden kundes "Min konto".”

BroBizz har videre oplyst, at virksomheden vil foretage underretning af den registrerede, og har været i kontakt med Kunde A og bedt ham slette evt. gemte oplysninger.

BroBizz har yderligere oplyst, at det er blevet indskærpet over for kundeservicemedarbejderen, at der kun må være ét kundebillede åbent ad gangen.

2.3

Ved brev af 12. december 2019 har BroBizz anmeldt yderligere et brud på persondatasikkerheden.

Det fremgår af anmeldelsen, at BroBizz den 11. december 2019 kl. 11:15 blev bekendt med, at en kundeservicemedarbejder den 27. november 2019 opdaterede Kunde A’s e-mailadresse under Kunde B’s kundenummer, hvorefter Kunde A kunne tilgå Kunde B’s BroBizz profil.

BroBizz har i den forbindelse oplyst bl.a. følgende:

”Kunde A henvender sig den 26. november 2019 via formular i BroBizz IT system hvor denne anmoder om opdatering af email adresse på et kundenummer som denne angiveligt tror er sit eget men viser sig at være Kunde Bs kundenummer. I den forbindelse bliver BroBizz interne valideringsprocedure ikke overholdt da BroBizz ikke får oplyst minimum to oplysninger der kan verificere kunden, hvorefter at kundeservicemedarbejderen den 27. november 2019 opdaterer e-mailadressen under det forkerte kundenummer. Kunde A bestiller herefter et nyt password som sendes til den netop opdaterede email adresse. Herefter kan kunde A logge ind på Kunde Bs konto, hvilket denne gør og opdaterer det tilknyttede kreditkort den 11. december 2019 til sit eget kreditkort. Senere på dagen den 11. december konstateres fejlen og Kunde B konto spærres således at det kun er Kunde B der kan logge på. Herefter kontaktes Kunde B telefonisk og informeres om forløbet og han anmodes om at opdatere sit betalingskort, hvilket gør at Kunde B kan se Kunde A betalingskort i begrænset tilstand. Kunde A oplyser også at han den 11. december 2019 selv har kontaktet Kunde B med henblik på at få klarlagt sagen (dette konfirmere Kunde B telefonisk). Derudover møder Kunde A op i receptionen med henblik på at få åbnet sin Brobizz.”

BroBizz har videre oplyst, at virksomheden har været i kontakt med begge berørte kunder, ligesom kunderne selv har været i kontakt med hinanden, hvorfor det vurderes, at der ikke skal ske underretning af de berørte personer.

BroBizz har yderligere oplyst, at kun én medarbejder i selskabets kundeservice fremadrettet behandler disse henvendelser. Derudover bedes alle kunder fremadrettet henvende sig via e-mail, hvorefter korrekt verifikation kan udføres.

3. Begrundelse for Datatilsynets afgørelse

3.1 Databeskyttelsesforordningens artikel 32, stk. 1

Datatilsynet lægger til grund, at BroBizz den 13. september, 16. november og 27. november 2019 – grundet manglende sikring og bekræftelse af identiteten af den fysiske person, der fremsatte en anmodning som omhandlet i artikel 15-21 – videregav personoplysninger, herunder bl.a. oplysninger om lokation, om tre kunder til uvedkommende.

Det følger af databeskyttelsesforordningens artikel 12, stk. 6, at, uden at det berører artikel 11, kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 15-21, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Det følger videre af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger. Efter Datatilsynets opfattelse indebærer dette bl.a., at man som dataansvarlig skal sikre, at oplysninger om registrerede ikke kommer til uvedkommendes kendskab.

Datatilsynet finder, at BroBizz’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, idet BroBizz ikke har levet op til kravet om at gennemføre passende organisatoriske sikkerhedsforanstaltninger i forbindelse med at sikre identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i forordningens artikel 15-21.

Datatilsynet har i den forbindelse lagt vægt på, at samme type hændelse er sket tre gange inden for kort tid. Datatilsynet finder, at sagerne er udtryk for, at BroBizz’ interne procedurer og instrukser enten ikke er tilstrækkelige, eller at medarbejderne ikke i tilstrækkelig grad er bekendt hermed.

Datatilsynet har videre lagt vægt på, at der ikke eksisterer tilstrækkelig uddannelse og træning af medarbejderne i databeskyttelse, herunder behandlingssikkerhed. De tiltag, der efter det oplyste er foretaget, nemlig, at forskellige medarbejdere har gennemgået ét kursus siden den 25. maj 2018, at medarbejdere i kundeservice introduceres til relevante persondataretlige problemstillinger i forbindelse med deres ansættelsesstart, og at den løbende uddannelse foregår på ad hoc basis, er efter Datatilsynets opfattelse ikke tilstrækkelige. Dette bekræftes af, at Brobizz på to en halv måned har videregivet oplysninger til uvedkommende i tre tilfælde.

Herudover har Datatilsynet lagt vægt på, at personoplysninger om lokation er omfattet af det ene skete brud på persondatasikkerheden, hvilket indebærer en forholdsvis høj risiko for den registreredes rettigheder, da eksponering af oplysningerne kan indebære eksempelvis integritetskrænkelse for den berørte.

Datatilsynet finder på den baggrund, at BroBizz ikke har truffet passende organisatoriske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved virksomhedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

3.2. Databeskyttelsesforordningens artikel 32, stk. 2

Forordningens artikel 32, stk. 2 angiver, at ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Risikovurderingen skal således tage udgangspunkt i risici for fysiske personer (de registrerede), og ikke f.eks. risici for den dataansvarlige (juridiske personer), i dette tilfælde BroBizz.

Datatilsynet finder, at den af BroBizz fremsendte kopi af en risikovurdering ikke ses at omfatte en vurdering af, hvilke risici en videregivelse til uvedkommende kan udgøre for kundernes rettigheder og frihedsrettigheder. Datatilsynet finder, at dokumentet alene omhandler hændelsen i sig selv og ikke berører mulige risici for de registreredes rettigheder, særligt eksemplificeret i, at det af dokumentet fremgår, at konsekvensen for kunden er, at ”info oplyses til en forkert kunde”.

Datatilsynet kan som mulige risici eksempelvis nævne identitetstyveri. Herudover kan oplysninger om lokation have særdeles ubehagelige konsekvenser for den registrerede i hænderne på personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking. Datatilsynet kan i den forbindelse bemærke, at der i den ene sag er videregivet oplysninger om lokation til en kundes eks-kæreste. 

Herudover mangler Datatilsynet dokumentation for, hvorledes BroBizz er kommet frem til de vurderede konsekvenser og sandsynligheder, herunder særligt dokumentation for, hvorledes BroBizz har konkluderet, at sandsynligheden for, at medarbejdere behandler kundehenvendelser uden verificering vurderes som ”meget lille”. Dette finder Datatilsynet problematisk, særligt under hensyn til at dette er sket i tre tilfælde inden for kort tid. Datatilsynet kan derfor ikke tilslutte sig BroBizz’ vurdering af, at risikoen for, at medarbejdere behandler kundehenvendelser uden verificering som ”meget lille”.

Derudover finder Datatilsynet heller ikke, at det kan betegnes som en tilstrækkeligt klar forebyggende handling, at ”medarbejdere følger instruks/proces”. Tilsynet finder denne forebyggende handling særdeles uklar.

Datatilsynet finder på den baggrund, at BroBizz – ved vurderingen af, hvilket sikkerhedsniveau der er passende – ikke har taget navnlig hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. forordningens artikel 32, stk. 2.

3.3. Databeskyttelsesforordningens artikel 33, stk. 1 og artikel 34, stk. 1

Datatilsynet finder, at BroBizz – ved at anmelde de pågældende hændelser til tilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter at virksomheden blev bekendt hermed – har handlet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.

Datatilsynet finder videre, at BroBizz – ved at underrette de berørte kunder i tilsynets sager med j. nr. 2019-441-3399 og 2019-441-4055 – har handlet i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1. Datatilsynet har i den forbindelse lagt vægt på BroBizz’ oplysninger om, at en leder i afdelingen i det ene tilfælde bl.a. har kontaktet en af de berørte telefonisk, og at BroBizz i det andet tilfælde vil underrette den kunde, hvis oplysninger er omfattet af hændelsen.

Herudover tilslutter Datatilsynet sig BroBizz’ vurdering i tilsynets sag med j. nr. 2019-441-4160 om, at der ikke foreligger en høj risiko for de berørte personers rettigheder og frihedsrettigheder, hvorfor der ikke bør ske underretning heraf. Datatilsynet har i den forbindelse lagt vægt på BroBizz’ oplysninger om, at virksomheden har været i kontakt med begge berørte kunder, og at kunderne har været i kontakt med hinanden.

Datatilsynet finder på den baggrund, at BroBizz har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33, stk. 1 og artikel 34, stk. 1. 

3.4. Datatilsynets konklusion

Sammenfattende finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at BroBizz’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 32, stk. 2.

Datatilsynet finder endvidere grundlag for at meddele BroBizz påbud om at foretage en vurdering af de risici for de registrerede, der er forbundet med den type behandling af personoplysninger, som virksomheden foretager i forbindelse med at sikre identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i forordningens artikel 15-21, jf. artikel 32, stk. 2.

Risikovurderingen skal indeholde en kortlægning over risikoen for de registreredes rettigheder og herefter en afvejning af disse risici i forhold til de forholdsregler, der bliver truffet for at beskytte disse rettigheder.[4]

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2.

Fristen for efterlevelse af påbuddet er 4 uger fra dags dato. Datatilsynet skal anmode om senest samme dato at modtage en kopi af pågældende risikovurdering.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Herudover finder Datatilsynet, at BroBizz’ behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1 og artikel 34, stk. 1.

4. Afsluttende bemærkninger

Datatilsynet imødeser senest 4 uger fra dags dato kopi af den pågældende risikovurdering.

Datatilsynet har noteret sig BroBizz’ bemærkninger om, at virksomheden har truffet en række foranstaltninger med henblik på at overholde databeskyttelsesreglerne. 

Datatilsynet skal afslutningsvist bemærke, at BroBizz – på baggrund af kortlægningen over risikoen for de registreredes rettigheder – skal træffe/implementere passende sikkerhedsforanstaltninger med henblik på at reducere/eliminere de identificerede risici for de registrerede.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] For nærmere vejledning henvises til Datatilsynets og Rådet for Digital Sikkerheds Vejledende tekst om risikovurdering: https://www.datatilsynet.dk/media/7900/vejledende-tekst-om-risikovurdering.pdf

[3] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[4] For nærmere vejledning henvises til Datatilsynets og Rådet for Digital Sikkerheds Vejledende tekst om risikovurdering: https://www.datatilsynet.dk/media/7900/vejledende-tekst-om-risikovurdering.pdf