Risikovurdering ved behandling af personoplysninger

Gå tilbage

Risikovurdering ved behandling af personoplysninger

Ny afgørelse fra Datatilsynet får betydning for kravene til virksomheders risikovurdering og sætter samtidig fokus på virksomheders håndtering af de registreredes rettigheder.

I forbindelse med brud på datasikkerheden hos BroBizz A/S tager Datatilsynet konkret stilling til virksomhedens procedurer og risikovurdering.

Sagen viser blandt andet, at det ved en vurdering af virksomhedens sikkerhedsniveau er vigtigt, at der tages hensyn til de risici, der er for de registreredes rettigheder i forbindelse med behandlingen af deres personoplysninger. Herunder hvilke konsekvenser det har for de registrerede, hvis sikkerhedsniveauet ikke holder.

Derfor bør virksomheder udarbejde en procedure for håndtering af de registreredes rettigheder og opdatere virksomhedens risikovurdering, så der tages stilling til konsekvenserne for de registrerede. Derudover skal det sikres, at alle medarbejdere er bekendt med procedurerne. 

Brud på datasikkerheden hos BroBizz A/S

Datatilsynet har behandlet 3 sager om brud på datasikkerheden hos BroBizz A/S, som er sket inden for en periode på under 3 måneder. I alle 3 tilfælde havde en kundeservicemedarbejder videregivet kunders personoplysninger til en uvedkommende part. Det drejer sig om oplysninger om en kundes lokation og oplysninger, som kunne give adgang til de berørtes kundeprofiler.

Her følger en kort beskrivelse af de 3 konkrete sager. Du kan læse hele sagsfremstillingen her: datatilsynet.dk/tilsyn-og-afgoerelser

Hændelse 1

En kundeservicemedarbejder udleverer oplysninger telefonisk om Person A (kunden) til Person B (kundens ekskæreste). Kundeservicemedarbejderen fortæller Person B om Person A’s lokation ved at kigge på kundens BroBizz-sender. Efterfølgende kontakter Person A BroBizz, da Person A ikke ønsker sine oplysninger udleveret til Person B.

Hændelse 2

Færgerederiet ForSea Helsingborg kontakter BroBizz på vegne af Kunde A for at ændre Kunde A’s e-mailadresse. Kundeservicemedarbejderen ændrer fejlagtigt Kunde A’s mailadresse til Kunde B’s mailadresse. Derudover bliver der på ForSeas anmodning tilsendt en ny adgangskode til Kunde A’s kundeprofil ”Min Konto”. Dermed får Kunde A adgang til Kunde B´s kundeprofil.

Hændelse 3

Kundeservicemedarbejderen hos BroBizz opdaterer fejlagtigt Kunde A’s mailadresse under Kunde B’s kundenummer, hvorefter Kunde A principielt har adgang til Kunde B’s kundeprofil.

Bemærkninger til sagerne

I afgørelsen lægger Datatilsynet vægt på, at medarbejderne har videregivet personoplysninger til uvedkommende i 3 tilfælde på under 3 måneder. Dette er sket på grund af mangelfuld verificering af identiteten af den fysiske person.

I risikovurderingen skriver BroBizz, at risikoen for at medarbejderne behandler kundehenvendelser uden verificering af kunden er ”meget lille”. For at forebygge at det sker, skriver de endvidere, at ”medarbejdere følger instruks/proces”.

Datatilsynet er ikke enig i vurderingen af, at risikoen for behandling uden verificering er ”meget lille”. Dette illustreres ved, at det netop er sket 3 gange inden for en relativ kort periode. De finder det ej heller tilstrækkeligt, at den forebyggende handling betegnes som ”medarbejdere følger instruks/proces”. Ifølge Datatilsynet er dette for uklart.

Ydermere fremgår det i risikovurderingen, at konsekvensen for kunden, hvis verificering ikke foretages, er, at ”kundeinfo oplyses til forkert kunde/ej kunde”.  Datatilsynet finder ikke, at denne beskrivelse er god nok.

Ifølge Datatilsynet mangler BroBizz at foretage en konkret vurdering af de risici, der er forbundet med, at medarbejderne videregiver personoplysninger til uvedkommende. Og hvad de risici betyder for kundens rettigheder.

Ifølge risikovurderingen er konsekvensen for kunden at ”info oplyses til en forkert kunde/ej kunde”. Der mangler altså en vurdering af, hvad dette konkret kan betyde for kunden. Det kan f.eks. være risikoen for identitetstyveri, eller at oplysninger om kundens lokation udnyttes til stalking eller chikane, hvis disse oplysninger havner i de forkerte hænder.

For at forebygge og minimere risiciene for kunden skriver BroBozz i risikovurderingen, at ”medarbejder følger instruks”.  Denne formulering er ligeledes problematisk, da den er alt for ukonkret. Datatilsynet mangler specificering og konkrete eksempler.  

Overholdelse af sikkerhedsniveau

Det er den dataansvarlige, der skal sørge for tekniske og organisatoriske foranstaltninger, så der sikres et passende sikkerhedsniveau i forhold til de risici, der er forbundet med behandling af personoplysninger. Dette indebærer ifølge Datatilsynet, at man skal sikre, at oplysninger om de registrerede ikke ender hos uvedkommende.

Datatilsynet finder ikke, at BroBizz har levet op til kravet om at gennemføre passende organisatoriske sikkerhedsforanstaltninger, som kan sikre identiteten af den fysiske person.

At den samme type hændelse er sket 3 gange, ser Datatilsynet som et udtryk for, at interne procedurer og instrukser ikke er tilstrækkelige, eller at medarbejderne ikke i tilstrækkelig grad er bekendte med dem. Datatilsynet mener desuden, at medarbejderne ikke er blevet tilstrækkeligt uddannet i behandlingssikkerhed.

Eftersom det ene brud på datasikkerheden var et læk om kundens lokation, finder Datatilsynet, at der hos BroBizz er en forholdsvis høj risiko forbundet med den registreredes rettigheder. De mener derfor ikke, at BroBizz har taget de nødvendige organisatoriske sikkerhedsforanstaltninger.

Afgørelse

I den konkrete sag udtalte Datatilsynet alvorlig kritik af BroBizz’s behandling af personoplysninger. Samtidig udstedte de et påbud om, at foretage en fornyet vurdering af de ricisi, der er forbundet med at sikre identiteten af de fysiske personer. Herunder hvordan man sikrer de registreredes rettigheder og hvilke konsekvenser det kan have for de registrerede, hvis de ikke er sikret korrekt.

Vores bemærkninger

Med afgørelsen til den konkrete sag tager Datatilsynet nærmere stilling til, hvordan virksomheder skal håndtere behandlingssikkerhed, og hvilke krav der stilles til risikovurderingen.

Hvad bør man gøre som virksomhed eller offentlig institution?

  1. Udarbejde en procedure for håndtering af de registreredes rettigheder. Herunder hvordan man sikrer, at det er den rette person, som udnytter rettighederne, således at der f.eks. ikke gives indsigt til en uvedkommende person.
  2. Opdatere virksomhedens risikovurdering, så der tages stilling til konsekvensen for den registrerede, hvis eksempelvis personoplysninger gives til den forkerte. Herunder hvordan risikoen behandles / reduceres – f.eks. ved klare procedurer og undervisning.
  3. Sikre at alle medarbejdere er bekendt med procedurerne for udlevering af persondata. Dette kan ske ved undervisning.

Har du spørgsmål?

Vil du høre mere, eller har du spørgsmål til artiklen, så er du velkommen til at kontakte os.

Kontakt en ekspert på området

Få mere viden

1,5 år med GDPR – Hvad har vi lært?

Årets ord i 2018 blev ”hvidvask”, men for langt de fleste danske virksomheder var det ord som GDPR, persondataforordningen og databehandleraftaler, der fyldte mest. Læs her, hvilke hovedkonklusioner vi kan drage ud fra de erfaringer, vi har fået.

Læs mere »

GDPR i 2019 – Hvad skal du gøre?

Persondataforordningen har været uhåndgribelig for mange, og de komplicerede regler er typisk blevet kritiseret for at være ukonkrete og uforståelige for alle andre end juristerne i Bruxelles. Det vil vi gerne lave om på, og derfor har vi lavet en kort liste med håndgribelige tiltag og opgaver, som din virksomhed skal igennem i 2019.

Læs mere »