Ny opgørelse over brud på persondata­sikkerheden for andet kvartal af 2019

Datatilsynet har offentliggjort en opgørelse over brud på persondatasikkerheden, som er modtaget fra den 1. april til 30. juni 2019. I den periode har Datatilsynet modtaget 1.740 anmeldelser om persondatasikkerhedsbrud. Derudover har der været henvendelser om grænseoverskridende brud på persondatasikkerheden, som er indberettet gennem Det Europæiske Databeskyttelsesråds samarbejdsportal.

Efter databeskyttelsesforordningen er den dataansvarlige forpligtet til at anmelde brud på persondatasikkerheden uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige er blevet opmærksom på bruddet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. 

Opgørelsen, som Datatilsynet for nylig har udgivet, viser, at der i andet kvartal af 2019 er indgivet 1.740 anmeldelser om brud på persondatasikkerheden. Opgørelsen viser også, at 63 % af anmeldelserne stammer fra den offentlige sektor, mens de resterende 37 % kommer fra den private sektor. Størstedelen af anmeldelserne vedrører brud på persondatasikkerheden, hvor antallet af registrerede er én eller ganske få. Når man ser på udviklingen, viser tallene, at der i forhold til første kvartal af 2019, er sket en yderligere stigning i antallet af anmeldelser på ca. 14 %. 

Desuden viser tallene, at der er sket en stigning på de gennemsnitlige månedlige anmeldelser, hvor tallet er steget fra 507 anmeldelser til 580 anmeldelser. Den udvikling er dog ikke alene udtryk for, at de dataansvarlige har været dårligere til at håndtere brud på persondatasikkerheden sammenlignet med det forrige kvartal, men skal ses i sammenhæng med, at der siden den 25. maj 2018 har været en stigning på mere end 50 % af anmeldelserne over tid. Det tyder dog på, at tallet er ved at stabilisere sig i den sidste del af det andet kvartal i 2019.

Det generelle billede af anmeldelserne viser, at der primært er tale om menneskelige fejl af typen, hvor personoplysninger sendes til den forkerte modtager. Disse tilfælde udgør 2/3 af de samlede anmeldelser. Derudover har der i perioden også været en stigning i brud på persondatasikkerheden, som skyldes ekstern uretmæssig påvirkning f.eks. malware, hacking eller lignende.

For de offentlige dataansvarliges vedkommende har Datatilsynet konstateret, at især manglende anonymisering ved offentliggørelse af dagsordentekster og videregivelse ved anmodninger om aktindsigt udgør typetilfældene på brud på persondatasikkerheden.

Læs opgørelsen over persondatasikkerhedsbrud for andet kvartal af 2019

Datatilsynets behandling

Vi har tidligere skrevet om Datatilsynets opgørelse over brud på persondatasikkerheden for første kvartal af 2019, som du kan læse i denne nyhed. Som det også fremgår af vores tidligere nyhed, vil Datatilsynet ‒ efter at et brud på persondatasikkerheden er blevet anmeldt ‒ som udgangspunkt starte med at foretage en vurdering af bruddet, hvor blandt andet omfanget og risikoen for de registreredes rettigheder vil indgå. Derefter vil bruddet blive sagsbehandlet og til sidst afsluttes med enten en sanktion fra Datatilsynet eller uden en egentlig kritik.

Læs Datatilsynets opgørelse