Disse brud på person­data­sikkerheden blev anmeldt i 2018

En ny opgørelse fra Datatilsynet viser, at Datatilsynet, fra den 25. maj 2018, hvor databeskyttelsesforordningen fandt anvendelse, til udgangen af 2018, har modtaget 2.780 anmeldelser om brud på persondatasikkerheden. Af de 2.780 anmeldelser vedrører ca. 80 % af anmeldelserne mindre end fem berørte registrerede.

Datatilsynets opgørelse viser, at 53 % af anmeldelserne af brud på persondatasikkerheden stammer fra private dataansvarlige, mens 44 % af anmeldelserne er fra det offentlige. Over halvdelen af anmeldelserne fra offentlige dataansvarlige stammer fra sikkerhedsbrud i kommuner.

De fleste anmeldelser stammer fra de dataansvarlige, som har kontakt med fysiske personer. Dette gælder både for de offentlige og de private dataansvarlige. En del af anmeldelserne vedrører forhold, hvor oplysninger om en eller få registrerede er sendt på en sikker måde. Det kan eksempelvis være over e-Boks, på en krypteret e-mail eller på en lukket kundeportal, men hvor meddelelsen er sendt til en forkert modtager. Disse anmeldelser udgør 2/3 af alle anmeldelser, som Datatilsynet har modtaget i perioden.

Derudover har Datatilsynet også modtaget en del anmeldelser om, at fortrolige personoplysninger ved en fejl ikke bliver sendt krypteret, selv om det har været meningen, at de skulle krypteres. Der forekommer også tit tyveri af udstyr eller dokumenter fra aflåste boliger og biler, samt tilfælde hvor dokumenter glemmes i offentlige transportmidler. Sikkerhedsbrud, der skyldes hacking og malware, udgør mindre end fem procent af de samlede anmeldelser.

Behov for bedre sikring af personoplysninger på IT-udstyr

På baggrund af de anmeldte brud på persondatasikkerheden udtaler Datatilsynet, at der er behov for bedre sikring af personoplysninger, der opbevares på fysiske enheder. Her tænker tilsynet især på enheder, der enten ofte er udsat for tyveri eller let mistes under transport (telefoner, tablets, USB-nøgler, bærbare computere m.v.). Disse enheder skal som regel slet ikke indeholde personoplysninger. Hvis den dataansvarlige vurderer, at de kan indeholde visse personoplysninger, er det vigtigt, at indholdet krypteres på en sådan måde, at ingen uvedkommende kan læse de pågældende personoplysninger, hvis enheden mistes.

Derudover bør man, efter Datatilsynets vurdering, benytte sig mere af bcc-funktionen frem for cc-funktionen, når en e-mail skal sendes til flere personer.

Datatilsynets behandling

Efter at et databrud er blevet anmeldt, vil Datatilsynet som udgangspunkt starte med at foretage en vurdering af bruddet. Det vil blandt andet omfatte en vurdering af omfanget af bruddet og risikoen for de registreredes rettigheder. Derefter vil bruddet blive sagsbehandlet.

Sagen kan enten afsluttes med sanktion fra Datatilsynet, herunder udtalelse af kritik, eller uden en egentlig kritik. Det sidste er især tilfældet, hvis der er tale om et enkeltstående tilfælde med ringe risiko for de registreredes rettigheder, og hvis den dataansvarliges foranstaltninger i forlængelse af bruddet bliver vurderet som tilstrækkelige i forhold til beskyttelsen af de registreredes rettigheder. Omvendt vil man som udgangspunkt blive mødt med kritik, hvis bruddet på persondatasikkerheden udsætter fysiske personers rettigheder for risiko. I visse tilfælde kan bruddet blive politianmeldt med henblik på en yderligere sanktion, herunder bøde.