Disse fokuspunkter vil Datatilsynet føre tilsyn med ved de første besøg i 2019

Du kan her læse om, hvad og hvem Datatilsynet har planlagt at føre tilsyn med ved de første planlagte tilsynsbesøg i 2019.

Datatilsynet offentliggjorde den 31. januar 2019 de temaer, som de har som fokuspunkter ved det næste halve års planlagte tilsyn. I blandt disse temaer er fokuspunkter som:

• Brud på persondatasikkerheden
• DPO-funktionen hos kommunerne
• Private virksomheders kryptering af e-mails
• Autorisation af medarbejdere
• Den registreredes indsigtsret
• Brug (og genbrug) af data
• Aggregering og sammenstilling af data til brug for videresalg.

Datatilsynet fokuserer særligt på sikkerhedshændelser, DPO-funktionen og kryptering af e-mails

Datatilsynet skriver i deres pressemeddelelse, at begrundelsen for, at brud på persondatasikkerheden er et særligt fokuspunkt, skal findes ved, at Datatilsynet siden 25. maj sidste år har modtaget en række anmeldelser om sikkerhedsbrud, der illustrerer de udfordringer, som virksomhederne arbejder med. Datatilsynet synes dog ikke at have modtaget nok henvendelse af den alvorlige karakter, hvorfor de i første del af 2019 vil føre tilsyn med 5 private virksomheder og 10 offentlige myndigheder om, hvorvidt de håndterer og anmelder brug på persondatasikkerheden korrekt og i overensstemmelse med persondataforordningens bestemmelser herom.

Begrundelsen for, at DPO- funktionen hos kommunerne er et særligt fokuspunkt, skal findes ved, at DPO-funktionen ofte varetages af et advokatfirma eller af en DPO, som har mere end én kommune. Datatilsynet synes derfor at være bekymret for, hvorvidt DPO’erne egentlig kan varetage deres opgaver til fulde. Datatilsynet har derfor varslet for de DPO’er, der varetager mere end én kommune, at føre tilsyn med DPO’ens ressourcer, opgaver og faglige kvalifikationer samt varslet for de DPO’er, der er antaget som en advokatydelse, at føre tilsyn med DPO’ens lovbestemte opgavehåndtering og -løsning samt føre tilsyn med, hvorvidt medarbejderne og de registrerede har adgang til DPO’en.

Kryptering af e-mails blev i sommeren 2018 et hot-button-issue, da Datatilsynet offentliggjorde, at der fra den 1. januar 2019 trådte en ny praksis i kraft vedrørende brug af e-mail og krypteringen heraf. For mange offentlige myndigheder var dette ikke nyheder, da offentlige myndigheder også før persondataforordningen, har været underlagt denne praksis. For de fleste private virksomheder var det dog en skræmmende og stor nyhed, som de fleste private virksomheder sikkert har kæmpet hele efteråret 2018 med at nå i mål med. Det kan derfor ikke komme som et chok, at Datatilsynet nu ønsker at føre tilsyn med, hvorvidt denne nye praksis egentlig er implementeret. I første omgang synes det at gå udover advokat- og revisorbranchen, idet Datatilsynet allerede har varslet tilsyn hos to advokatkontorer og et revisorfirma med henblik på gennemgang, implementering og brugen af den nye e-mailpraksis.

Husk at have styr på adgangsbegrænsning, behandlingshjemmel og de registreredes rettigheder

Datatilsynet har endvidere lagt op til, at flere fokuspunkter for de første tilsyn i 2019 indeholder temaer vedrørende adgangsbegrænsning, behandlingshjemmel og -formål samt de registreredes rettigheder. Datatilsynet har således allerede varslet tilsyn med kommunernes adgangsbegrænsninger samt tilsyn af kommunernes brug af algoritmer og scoringsmekanismer. Derudover har Datatilsynet ligeledes varslet tilsyn af både offentlige myndigheder og private virksomheders håndtering af de registreredes rettigheder, herunder særligt håndteringen af de registreredes indsigtsret.

Hvor gennemføres tilsynene?

Datatilsynet har endnu ikke offentliggjort, hvilke offentlige myndigheder eller private virksomheder, der bliver genstand for et af Datatilsynet planlagte tilsyn, og hvornår dette sker kan ikke siges nærmere.

Datatilsynet har dog en procedure med at offentliggøre navne på de virksomheder/myndigheder, som danner genstand for et tilsyn. Datatilsynet offentliggjorde eksempelvis navnene på de virksomheder og myndigheder, der i efteråret 2018 var genstand for planlagte tilsyn.

HjulmandKaptains kommentarer

Datatilsynet synes nu for alvor at være gået i gang med deres tilsyns- og kontrolopgave, hvorfor det ikke vil være usandsynligt, at der i løbet af 2019 vil forekomme langt flere tilsyns- og kontrolbesøg med både private virksomheder og offentlige myndigheder, herunder både planlagte tilsyn og ad hoc-tilsyn. Et godt råd med på vejen er derfor at få styr på håndteringen af sikkerhedsbrud og anmeldelsespligt, håndteringen af de registreredes rettigheder, DPO’ens rolle og opgavehåndtering samt vigtigst af alt at få styr på adgangsbegrænsningerne.