Kommune møder kritik fra Datatilsynet pga. offentliggjorte personoplysninger på hjemmeside

Nyhed
18.06.2020

Datatilsynet udtaler alvorlig kritik af en kommune for ikke at have foretaget anmeldelse og underretning i overensstemmelse med persondataforordningens regler samt for ikke at have gennemført passende tekniske og organisatoriske foranstaltninger.

Kommune har offentliggjort personoplysninger af beskyttelsesværdig karakter på hjemmeside

Af sagen fremgår det, at kommunen den 18. oktober 2019 blev opmærksom på, at 15 offentliggjorte høringsvar ikke var tilstrækkeligt anonymiseret, og at der dermed var sket et brud på persondatasikkerheden.

Høringssvarene indeholder beskyttelsesværdige oplysninger, herunder oplysninger om navne- og adressebeskyttelse og oplysninger om børns trivsel, diagnose og tilknytning til specialskole.

 

Høringssvarene har været tilgængelige på hjemmesiden fra 17. oktober kl. 09:52 frem til 18. oktober kl. 21:00, hvor alle oplysninger fjernes fra hjemmesiden.

 

Kommunen foretager først anmeldelsen 1. november 2019 på grund af manglende overblik over omfanget af hændelsen.

 

Datatilsynets afgørelse

Datatilsynet vurderer, at kommunen ikke har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, og det er dette, der danner grundlag for den alvorlige kritik.

 

Instruks blev ikke fuldt af medarbejdere
Kommunen har instrueret kommunens medarbejdere i, hvilke personoplysninger der skal slettes fra høringsvarene, inden de bliver offentliggjort.

 

Instruksen er ikke blevet fuldt, og datatilsynet gør i den forbindelse opmærksom på, at håndtering af følsomme personoplysninger stiller større krav til medarbejderens omhyggelighed, og hvilke sikkerhedsforanstaltninger der skal gennemføres.

 

Kritik for ikke rettidig anmeldelse af databrud
Derudover udtaler Datatilsynet alvorlig kritik for ikke at have foretaget anmeldelsen rettidigt. De gør i den forbindelse opmærksom på, at når og for så vidt det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse. Her bemærker Datatilsynet ligeledes, at det ikke sanktioneres at rapportere en hændelse, der i sidste ende viser sig ikke at være et brud.

 

Sen underretning af de berørte borgere
Afsluttende udtaler datatilsynet alvorlig kritik af kommunens håndtering af underretningen til de berørte borgere.

 

Kommunen bliver bekendt med databruddet den 18. oktober 2019, men foretager først underretningen den 20. januar 2020.

 

Der foreligger ingen dokumentation for, at underretning er sket uden unødig forsinkelse. Kommunen har i første omgang vurderet, at der ikke er en høj risiko for de registrerede, men foretager en ny vurdering som følge af Datatilsynets høringer til kommunen og vælger på den baggrund at underrette de berørte borgere.

 

Datatilsynet pointerer her, at et brud på persondatasikkerheden vedrørende beskyttelsesværdige oplysninger som udgangspunkt indebærer en høj risiko. Foruden det foregående, har Datatilsynet ligeledes lagt vægt på, at underretningen ikke har indeholdt en beskrivelse af de sandsynlige konsekvenser, som bruddet vil kunne have for de berørte.

 

Vores kommentarer

Ved et brud på persondatasikkerheden er det vigtigt, at der foretages en dokumenteret risikovurdering både i forhold til anmeldelsen og underretningen af den registrerede.

 

Det er ligeledes afgørende, at fristen på de 72 timer overholdes, og hvis de 72 timer overskrides, på grund af manglende overblik over sagen, skal dette ligeledes dokumenteres, så den dataansvarlige på et senere tidspunkt kan redegøre for dette.

 

Dog er det vigtigt at huske, at forordningen netop giver mulighed for denne trinvise anmeldelse, så der kan indsendes en indledende anmeldelse, som kan suppleres, så snart der er nye oplysninger med relevans for hændelsen.

 

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til håndteringen eller vurderingen af brud på persondatasikkerheden i forhold til din virksomhed eller organisation, er du altid velkommen til at kontakte vores eksperter i persondataret.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev