Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud
Datatilsynet har i en ny sag udtalt alvorlig kritik af Skattestyrelsens behandling af personoplysninger. Kritikken var udløst af et sikkerhedsbrud hos Skattestyrelsen, hvorefter Datatilsynet fejlagtigt blev informeret om, at den berørte registrerede var underrettet. Med henvisning til ekstraordinære forhold i ferieperioden, kom det først frem omkring 40 dage efter, at det alligevel ikke var tilfældet.
Sagen handlede om et brud på datasikkerheden, der skete hos Skattestyrelsen som følge af en menneskelig fejl, da et brev om skattegodkendelse blev sendt til den forkerte modtager. Brevet indeholdt både identifikationsoplysninger, oplysninger af økonomisk karakter samt CPR-nummer.
Skattestyrelsen blev først opmærksom på sikkerhedsbruddet efter et par måneder, da modtageren rettede henvendelse og fejlen blev undersøgt. I overensstemmelse med reglerne, anmeldte Skattestyrelsen herefter forholdet til Datatilsynet. Det fremgik blandt andet af anmeldelsen, at den berørte registrerede var blevet underrettet om sikkerhedsbruddet.
Efter sommerferien tog Skattestyrelsen dog kontakt til Datatilsynet igen med oplysning om, at den berørte registrerede alligevel ikke var blevet underrettet, som oprindeligt oplyst. Underretning var dog sket efter ferien, efter fejlen blev opdaget. Skattestyrelsen henviste til, at ekstraordinære forhold i ferieperioden var skyld i fejlen. Datatilsynet tog herefter sagen op.
”Ekstraordinære forhold i ferieperioden” kunne ikke begrunde fejlen
Når der sker et brud på datasikkerheden, som sandsynligvis vil indebære en høj risiko for de berørtes rettigheder, skal der ske underretning til vedkommende uden unødig forsinkelse. Det var tilfældet i Skattestyrelsens sag, fordi oplysningerne både selvstændigt og i kombination kunne medføre alvorlige konsekvenser for den berørte.
Datatilsynet fandt herefter, at der var grundlag for at udtale alvorlig kritik af Skattestyrelsens databehandling. Underretning til den berørte registrerede skete først omkring 40 dage efter Datatilsynet modtog anmeldelsen. Skattestyrelsens henvisning til, at ekstraordinære forhold i ferieperioden var skyld i fejlen, havde ingen betydning for Datatilsynets vurdering.
Tværtimod var sagen kun blevet mere alvorlig som følge af, at Skattestyrelsen fejlagtigt havde oplyst Datatilsynet om, at underretning var sket, samt at der var gået flere måneder før Skattestyrelsen selv blev opmærksom på sikkerhedsbruddet.
IUNO mener
Sagen viser tydeligt, hvor vigtigt det er at virksomheder har klare og passende procedurer, retningslinjer og beredskabsplaner på plads, der gør det muligt at foretage de nødvendige anmeldelser og underretninger, uanset om medarbejdere holder ferie.
IUNO anbefaler, at virksomheder løbende gennemgår de etablerede procedurer, og sørger for passende oplæring, så både nye og eksisterende medarbejdere ved, hvordan et brud på datasikkerheden skal gribes an inden for de forskellige deadlines.
Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.
[Datatilsynets afgørelse af den 22. september 2021]
Sagen handlede om et brud på datasikkerheden, der skete hos Skattestyrelsen som følge af en menneskelig fejl, da et brev om skattegodkendelse blev sendt til den forkerte modtager. Brevet indeholdt både identifikationsoplysninger, oplysninger af økonomisk karakter samt CPR-nummer.
Skattestyrelsen blev først opmærksom på sikkerhedsbruddet efter et par måneder, da modtageren rettede henvendelse og fejlen blev undersøgt. I overensstemmelse med reglerne, anmeldte Skattestyrelsen herefter forholdet til Datatilsynet. Det fremgik blandt andet af anmeldelsen, at den berørte registrerede var blevet underrettet om sikkerhedsbruddet.
Efter sommerferien tog Skattestyrelsen dog kontakt til Datatilsynet igen med oplysning om, at den berørte registrerede alligevel ikke var blevet underrettet, som oprindeligt oplyst. Underretning var dog sket efter ferien, efter fejlen blev opdaget. Skattestyrelsen henviste til, at ekstraordinære forhold i ferieperioden var skyld i fejlen. Datatilsynet tog herefter sagen op.
”Ekstraordinære forhold i ferieperioden” kunne ikke begrunde fejlen
Når der sker et brud på datasikkerheden, som sandsynligvis vil indebære en høj risiko for de berørtes rettigheder, skal der ske underretning til vedkommende uden unødig forsinkelse. Det var tilfældet i Skattestyrelsens sag, fordi oplysningerne både selvstændigt og i kombination kunne medføre alvorlige konsekvenser for den berørte.
Datatilsynet fandt herefter, at der var grundlag for at udtale alvorlig kritik af Skattestyrelsens databehandling. Underretning til den berørte registrerede skete først omkring 40 dage efter Datatilsynet modtog anmeldelsen. Skattestyrelsens henvisning til, at ekstraordinære forhold i ferieperioden var skyld i fejlen, havde ingen betydning for Datatilsynets vurdering.
Tværtimod var sagen kun blevet mere alvorlig som følge af, at Skattestyrelsen fejlagtigt havde oplyst Datatilsynet om, at underretning var sket, samt at der var gået flere måneder før Skattestyrelsen selv blev opmærksom på sikkerhedsbruddet.
IUNO mener
Sagen viser tydeligt, hvor vigtigt det er at virksomheder har klare og passende procedurer, retningslinjer og beredskabsplaner på plads, der gør det muligt at foretage de nødvendige anmeldelser og underretninger, uanset om medarbejdere holder ferie.
IUNO anbefaler, at virksomheder løbende gennemgår de etablerede procedurer, og sørger for passende oplæring, så både nye og eksisterende medarbejdere ved, hvordan et brud på datasikkerheden skal gribes an inden for de forskellige deadlines.
Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.
[Datatilsynets afgørelse af den 22. september 2021]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet