fbpx

GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?

Del artiklen

Som dataansvarlig er du forpligtet til at foretage en konkret vurdering af de risici, som er forbundet med virksomhedens behandling af personoplysninger og på den baggrund udvælge hvilke sikkerhedsforanstaltninger, som skal implementeres.

Men hvornår har virksomheden etableret tilstrækkelige sikkerhedsforanstaltninger i forhold til at begrænse de identificerede risici?

På baggrund af to nye afgørelser fra Datatilsynet vil vi give nogle generelle råd om etablering af sikkerhedsforanstaltninger i henhold til GDPR. Begge sager omhandler offentlige myndigheder, og hertil skal det bemærkes, at offentlige bødeniveauer ofte vil være lavere, end hvis der var tale om private virksomheder.

Utilstrækkelig sikkerhed på hjemmeside

Datatilsynet har indstillet Region Syddanmark til en bøde på kr. 500.000 for utilstrækkelig kontrol med offentliggjorte dokumenter på deres hjemmeside.

Konkret drejede det sig om en PowerPoint-præsentation med et diagram, som indeholdte oplysninger om CPR-numre og helbredsoplysninger på 3.915 patienter. Præsentationen var offentlig tilgængelig på regionens hjemmeside.

Region Syddanmark havde etableret en sikkerhedsforanstaltning, nemlig et screeningsværktøj, der jævnligt scannede deres hjemmeside for utilsigtede offentliggjorte personnumre. Men screeningsværktøjet kunne tilsyneladende ikke scanne de bagvedliggende data i en PowerPoint-præsentation, og derfor havde oplysningerne ligget frit tilgængelige på regionens hjemmeside siden 2011.

Datatilsynet fandt derfor, at Region Syddanmark ikke havde etableret tilstrækkelige sikkerhedsforanstaltninger. Regionen burde have kontrolleret, om screeningsværktøjet var i stand til at scanne alle former for dokumenter.

Læs hele afgørelsen her: Region Syddanmark indstillet til bøde.

Utilstrækkelig sikkerhed ved opbevaring af fysiske journaler

Datatilsynet har ligeledes indstillet Region Midtjylland til en bøde på kr. 400.000 for ikke at etablere passende sikkerhed omkring fysiske patientjournaler.

Sagen drejede sig om ca. 100.000 journaler, som var arkiveret i et livstilscenter, og som blandt andet indeholdte oplysninger om CPR-numre og helbredsoplysninger. Problemet var, at alle medarbejdere og patienter i centreret var blevet tildelt nøglekort, som gav dem adgang til journalarkivet, også selvom de ikke havde behov for det.

Regionens sikkerhedsforanstaltning var, at de havde lavet retningslinjer vedrørende adgangsbegrænsning med nøglekort. Disse retningslinjer omhandlede dog kun ikke-fastansatte, dvs. der var hverken retningslinjer for nøglekort til fastansatte eller patienter.

Datatilsynet fandt derfor, at regionen ikke havde etableret tilstrækkelige retningslinjer for adgangsbegrænsning ved fremstilling af nøglekort. Ifølge Datatilsynet skulle der have været klare retningslinjer for kodning og brug af adgangskort i livstilscentreret, samt regelmæssige tests af om adgangsstyringen virkede.

Det var desuden muligt at se omslag på nogle journaler ude fra gadeplan gennem et vindue. Her kunne forbipasserende se navne og CPR-numre på nogle af patienterne. Vinduerne til bygningen kunne have været matteret for at undgå dette.

Læs hele sagen her: Region Midtjylland indstillet til bøde.

Generelle råd om sikkerhedsforanstaltninger

Det er den dataansvarlige, der har ansvar for at identificere de risici, som er forbundet med virksomhedens behandling af personoplysninger samt at vurdere, hvilke sikkerhedsforanstaltninger, der kan begrænse risiciene. Det er på baggrund af disse overvejelser, samt de sikkerhedsforanstaltninger som virksomheden vælger at etablere, at Datatilsynet foretager en konkret vurdering af, om sikkerhedsforanstaltningerne er tilstrækkelige.

På baggrund af de to sager kan vi identificere nogle af de forhold, som Datatilsynet lægger vægt på, når de skal vurdere om en sikkerhedsforanstaltning er tilstrækkelig.

Datatilsynet lægger blandt andet vægt på:

  • Mængden af personoplysninger, og hvor følsomme de er
  • Om virksomheden tidligere har haft udfordringer med adgangsstyring og adgangsbegrænsning til behandling af personoplysninger
  • Om virksomheden jævnligt fører kontrol med sine sikkerhedsforanstaltninger

Når man arbejder med GDPR og IT-sikkerhed, bør man desuden altid:

  1. Lave en risikovurdering af de tekniske og organisatoriske sikkerhedsforanstaltninger
  2. Sørge for at de svagheder, som I finder i risikovurderingen, udbedres
  3. Oprette kontrolforanstaltninger for at sikre, at risici forbliver lave
  4. Gennemgå digitale og fysiske kontrolforanstaltninger med fast interval
  5. Beskytte eventuelle opbevarede personoplysninger (fysiske eller digitale) med adgangsbegrænsning – nøglekort, passwords, lås mv.
  6. Lave klare retningslinjer for kodning og brug af eventuelle adgangskort, og kontrollere at de overholdes
  7. Overveje, om det er muligt at indhente mindre data eller slette det, der ikke længere er relevant

Har du spørgsmål?

Hvis du har spørgsmål til artiklen, er du velkommen til at kontakte os via nedenstående kontaktformular.

Del artiklen

Del artiklen med dit netværk