2.780 anmeldelser om brud på datasikkerhed
Datatilsynet har haft travlt siden indførelse af regel i maj 2018

Databeskyttelsesforordningen fra maj 2018 har skabt mange problemer for både private borgere og offentlige instanser.

Det kan læses ved at gå ind på Datatilsynets hjemmeside, hvor man bl.a. gennemgår de fejl, der er lavet indtil nu og hvordan man kan forebygge fejlene.
Gladsaxe Kommune har jo også bidraget til at levere fejl via indbrud, tyveri og fejlplacering af personfølsomme oplysninger på hjememsiden.

Datatilsynet har i perioden fra 25. maj til 31. december 2018 modtaget 2.780 anmeldelser om person-datasikkerhedsbrud, ligesom tilsynet i samme periode har modtaget henvendelser om grænseoverskridende persondatasikkerhedsbrud gennem Det Europæiske Databeskyttelsesråds samarbejdsportal.

Der er kun ganske få af anmeldelserne, der ikke har indeholdt et brud på persondatasikkerheden, og Datatilsynet konstaterer, at der generelt ikke bliver indgivet anmeldelser, der ikke er pligt til.

Anmeldelserne fordeler sig med 53 % fra private dataansvarlige, 44 % fra offentlige dataansvarlige og 3 % i gruppen forskellige. De forskellige er typisk grænseoverskridende brud for private dataansvarlige, anmeldt direkte til Datatilsynet her i Danmark.

Forkert modtager
I den første del af perioden var en overvægt af anmeldelser fra private dataansvarlige, mens fordelingen mod slutningen af perioden bevæget sig mod en svag overvægt af offentlige anmeldelser.

Generelt gælder det for både de private og de offentlige anmeldelser, at de grupper af dataansvarlige, der har meget udadvendt kontakt med de registrerede, også er de dataansvarlige, der har flest anmeldelser. Mange af anmeldelserne vedrører forhold, hvor oplysninger om en eller få registrerede er sendt på en sikker måde f.eks. via e-Boks, krypteret eller på en lukket kundeportal – men til en forkert modtager.

Cirka 2/3 af anmeldelserne går på oplysninger, der er sendt til den ”forkerte” modtager, oftest ved en menneskelig fejl i afsendelsesøjeblikket. I tillæg til denne gruppe er der en særlig variant heraf, der tegner sig for ca. 5 % af anmeldelserne. Det drejer sig om situationer, hvor brevpost er sendt til den rette modtagers sidste folkeregisteradresse, men ved en fejl åbnes af en anden person, typisk fordi den registrerede er fraflyttet eller fordi brevet bliver fejlafleveret af udbringeren.

En anden udbredt gruppe af anmeldelser er oplysninger, der ved en fejl ikke er undergivet den fortrolighed, som den dataansvarlige selv har vurderet nødvendig for behandlingen, f.eks. hvor e-mails, der efter intern instruks skulle sendes krypteret, bliver sendt uden at være det.

Der er mange indbrud
Tyveri af udstyr eller dokumenter fra aflåste lokaler, boliger og biler eller de tilfælde, hvor udskrifterne eller enheden bliver mistet i det offentlige rum, typisk i offentlige transportmidler, forekommer også relativt ofte. Brud på persondatasikkerheden, der skyldes ekstern uretmæssig påvirkning såsom phishing, malware, hacking eller tilsvarende udgør mindre end 5 % af de samlede anmeldelser. Typisk vil denne type hændelser dog berøre et højere antal registrerede.

Den umiddelbare læring af de anmeldte brud på persondatasikkerheden er, at visse typer af funktionalitets-understøttelse såsom autoudførelse af e-mailadresser, standardbreve, der flettes til mange modtagere, og udsendelse af grafer, hvor de underliggende data ikke er fjernet, skal revurderes hos de respektive dataansvarlige. I hvert fald skal det som minimum overvejes at indføre tekniske og/eller organisatoriske foranstaltninger, der kan formindske risikoen ved brugen af de pågældende typer af behandlinger. Herudover skal Datatilsynet erindre om at benytte bcc og ikke cc ved afsendelse af mail til flere modtagere.

Kryptering kan være løsningen
Der er behov for bedre sikring af personoplysninger, der opbevares på fysiske enheder og især de enheder, der enten hyppigt er udsat for tyveri eller let mistes under transport (telefoner, tablets, transportable hard-diske, usb-sticks, hukommelseskort og bærbare computere).

Disse enheder skal som udgangspunkt slet ikke indeholde personoplysninger, men i det omfang, det er vurderet af den dataansvarlige, at de kan indeholde sådanne oplysninger, skal kryptering af indholdet være foretaget på en sådan måde, at ingen uvedkommende kan læse de pågældende oplysninger, hvis enheden mistes.

Omkring 700 sager er stadig under behandling, hvilket betyder, at de er ved at blive oplyst eller vurderet.

55 af sagerne undervejs har været undergivet hastesagsbehandling grundet bruddets karakter. Dette kan f.eks. skyldes, at risikoen for de registreredes rettigheder har været høj, typisk på grund af at eksponering af data stadig skete efter anmeldelsen, eller at akut underretning af de registrerede har været vurderet nødvendig.

Skriv et svar

Din e-mailadresse vil ikke blive offentliggjort. Krævede felter er markeret med *

Top