Ny opgørelse over antallet af sikkerhedsbrud fra Datatilsynet

Datatilsynet har siden starten af 2019 udgivet kvartalsmæssige opgørelser over anmeldelser af brud på persondatasikkerheden, mens der foreligger en samlet opgørelse for perioden fra Datatilsynets ikrafttrædelse den 25. maj til den 31. december 2018.

Opgørelserne viser ikke antallet af klager fra de registrerede, men derimod antallet af brud på persondatasikkerheden, som de dataansvarlige har anmeldt til Datatilsynet. I henhold til databeskyttelsesforordningen er den dataansvarlige forpligtet til at anmelde brud på persondatasikkerheden uden unødig forsinkelse og senest 72 timer efter, at den dataansvarlige er blevet opmærksom på bruddet ‒ medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske  personers rettigheder eller frihedsrettigheder. 

I alt var blev der anmeldt 2.328 brud på persondatasikkerheden i perioden fra den 1. oktober til 31. december 2019. Dermed er der sket en væsentlig stigning fra tredje til fjerde kvartal på 610 anmeldelser svarende til 35,5 %. Samlet er der anmeldt 7.307 sikkerhedsbrud i 2019.

Ifølge Datatilsynet er der ikke i 4. kvartal af 2019 blevet indberettet flere brud, end der er pligt til, hvilket indikerer, at de dataansvarlige i højere grad er blevet bekendte med hvilke situationer, der er omfattet af anmeldelsespligten. 

Typen af sikkerhedsbrud

Over 70 % af anmeldelserne omhandler sager, hvor personoplysninger er sendt på en sikker måde, f.eks. krypterede mails eller på en lukket kundeportal, men til en forkert modtager grundet menneskelige fejl i afsendelsesøjeblikket. Det er derfor vigtigt, at man som dataansvarlig har implementeret interne procedurer, der forhindrer netop denne situation.

Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning, såsom malware, hackning og phishing, udgør til stadighed en mindre del af de samlede anmeldelser. 

Tre indskærpelser

I rapporten har Datatilsynet fremsat tre indskærpelser:

1. Fysiske enheder såsom bærebare computere, telefoner, tablets og USB-nøgler, hvorpå der opbevares personoplysninger, skal krypteres, og brugernavn og kodeord på operativsystemniveau er ikke tilstrækkeligt. 
2. I forbindelse med et sikkerhedsbrud skal der tages stilling til, om der skal ske underretning af de registrerede. I omkring 15 % af anmeldelsestilfældene er der ikke foretaget en korrekt og fyldestgørende vurdering af, om der skal ske underretning af de registrerede i henhold til databeskyttelsesforordningens artikel 34, stk. 1. Derfor har Datatilsynet i perioden udstedt flere påbud til dataansvarlige om underretning af de berørte registrerede. 
3. I forbindelse med udviklingen af nye systemer og i testsituationer skal der foretages passende tekniske og organisatoriske foranstaltninger til sikring af "produktionsdata, kendeord, brugernavne, IP-adresser, certifikater og øvrige angrebsvektorer". 

Sektorfordeling

Endvidere fremgår det af opgørelsen, at 61 % af anmeldelserne stammer fra den offentlige sektor, mens de resterende 39 % kommer fra den private sektor. Årsagen til at den offentlige sektor anmelder flest sikkerhedsbrud kan således meget vel være, at offentlige myndigheder har meget kontakt med de registrerede i forbindelse med sagsbehandling. 

Datatilsynets behandling

Datatilsynet vil ‒ efter et brud på persondatasikkerheden er blevet anmeldt ‒ som udgangspunkt starte med at foretage en vurdering af bruddet, hvor blandt andet omfanget og risikoen for de registreredes rettigheder vil indgå. Derefter vil bruddet blive sagsbehandlet og til sidst afsluttet med vurderingen af eventuel sanktion. Læs mere om dette i vores tidligere omtale.