DA
Teknologi

Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

logo
Juranyt
calendar 7 oktober 2021
globus Danmark

Datatilsynet har i en ny sag udtalt alvorlig kritik af Skattestyrelsens behandling af personoplysninger. Kritikken var udløst af et sikkerhedsbrud hos Skattestyrelsen, hvorefter Datatilsynet fejlagtigt blev informeret om, at den berørte registrerede var underrettet. Med henvisning til ekstraordinære forhold i ferieperioden, kom det først frem omkring 40 dage efter, at det alligevel ikke var tilfældet.

Sagen handlede om et brud på datasikkerheden, der skete hos Skattestyrelsen som følge af en menneskelig fejl, da et brev om skattegodkendelse blev sendt til den forkerte modtager. Brevet indeholdt både identifikationsoplysninger, oplysninger af økonomisk karakter samt CPR-nummer.

Skattestyrelsen blev først opmærksom på sikkerhedsbruddet efter et par måneder, da modtageren rettede henvendelse og fejlen blev undersøgt. I overensstemmelse med reglerne, anmeldte Skattestyrelsen herefter forholdet til Datatilsynet. Det fremgik blandt andet af anmeldelsen, at den berørte registrerede var blevet underrettet om sikkerhedsbruddet.

Efter sommerferien tog Skattestyrelsen dog kontakt til Datatilsynet igen med oplysning om, at den berørte registrerede alligevel ikke var blevet underrettet, som oprindeligt oplyst. Underretning var dog sket efter ferien, efter fejlen blev opdaget. Skattestyrelsen henviste til, at ekstraordinære forhold i ferieperioden var skyld i fejlen. Datatilsynet tog herefter sagen op.

”Ekstraordinære forhold i ferieperioden” kunne ikke begrunde fejlen

Når der sker et brud på datasikkerheden, som sandsynligvis vil indebære en høj risiko for de berørtes rettigheder, skal der ske underretning til vedkommende uden unødig forsinkelse. Det var tilfældet i Skattestyrelsens sag, fordi oplysningerne både selvstændigt og i kombination kunne medføre alvorlige konsekvenser for den berørte.

Datatilsynet fandt herefter, at der var grundlag for at udtale alvorlig kritik af Skattestyrelsens databehandling. Underretning til den berørte registrerede skete først omkring 40 dage efter Datatilsynet modtog anmeldelsen. Skattestyrelsens henvisning til, at ekstraordinære forhold i ferieperioden var skyld i fejlen, havde ingen betydning for Datatilsynets vurdering.

Tværtimod var sagen kun blevet mere alvorlig som følge af, at Skattestyrelsen fejlagtigt havde oplyst Datatilsynet om, at underretning var sket, samt at der var gået flere måneder før Skattestyrelsen selv blev opmærksom på sikkerhedsbruddet.

IUNO mener

Sagen viser tydeligt, hvor vigtigt det er at virksomheder har klare og passende procedurer, retningslinjer og beredskabsplaner på plads, der gør det muligt at foretage de nødvendige anmeldelser og underretninger, uanset om medarbejdere holder ferie.

IUNO anbefaler, at virksomheder løbende gennemgår de etablerede procedurer, og sørger for passende oplæring, så både nye og eksisterende medarbejdere ved, hvordan et brud på datasikkerheden skal gribes an inden for de forskellige deadlines.

Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.

[Datatilsynets afgørelse af den 22. september 2021]

Sagen handlede om et brud på datasikkerheden, der skete hos Skattestyrelsen som følge af en menneskelig fejl, da et brev om skattegodkendelse blev sendt til den forkerte modtager. Brevet indeholdt både identifikationsoplysninger, oplysninger af økonomisk karakter samt CPR-nummer.

Skattestyrelsen blev først opmærksom på sikkerhedsbruddet efter et par måneder, da modtageren rettede henvendelse og fejlen blev undersøgt. I overensstemmelse med reglerne, anmeldte Skattestyrelsen herefter forholdet til Datatilsynet. Det fremgik blandt andet af anmeldelsen, at den berørte registrerede var blevet underrettet om sikkerhedsbruddet.

Efter sommerferien tog Skattestyrelsen dog kontakt til Datatilsynet igen med oplysning om, at den berørte registrerede alligevel ikke var blevet underrettet, som oprindeligt oplyst. Underretning var dog sket efter ferien, efter fejlen blev opdaget. Skattestyrelsen henviste til, at ekstraordinære forhold i ferieperioden var skyld i fejlen. Datatilsynet tog herefter sagen op.

”Ekstraordinære forhold i ferieperioden” kunne ikke begrunde fejlen

Når der sker et brud på datasikkerheden, som sandsynligvis vil indebære en høj risiko for de berørtes rettigheder, skal der ske underretning til vedkommende uden unødig forsinkelse. Det var tilfældet i Skattestyrelsens sag, fordi oplysningerne både selvstændigt og i kombination kunne medføre alvorlige konsekvenser for den berørte.

Datatilsynet fandt herefter, at der var grundlag for at udtale alvorlig kritik af Skattestyrelsens databehandling. Underretning til den berørte registrerede skete først omkring 40 dage efter Datatilsynet modtog anmeldelsen. Skattestyrelsens henvisning til, at ekstraordinære forhold i ferieperioden var skyld i fejlen, havde ingen betydning for Datatilsynets vurdering.

Tværtimod var sagen kun blevet mere alvorlig som følge af, at Skattestyrelsen fejlagtigt havde oplyst Datatilsynet om, at underretning var sket, samt at der var gået flere måneder før Skattestyrelsen selv blev opmærksom på sikkerhedsbruddet.

IUNO mener

Sagen viser tydeligt, hvor vigtigt det er at virksomheder har klare og passende procedurer, retningslinjer og beredskabsplaner på plads, der gør det muligt at foretage de nødvendige anmeldelser og underretninger, uanset om medarbejdere holder ferie.

IUNO anbefaler, at virksomheder løbende gennemgår de etablerede procedurer, og sørger for passende oplæring, så både nye og eksisterende medarbejdere ved, hvordan et brud på datasikkerheden skal gribes an inden for de forskellige deadlines.

Læs mere om, hvordan vi kan hjælpe din virksomhed med at sikre compliance, her.

[Datatilsynets afgørelse af den 22. september 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
HR-jura Corporate Teknologi

2. november 2021

Fælles whistleblowerordninger i internationale koncerner

logo
HR-jura Corporate Teknologi

29. oktober 2021

Whistleblowerordninger i kommuner og offentlige virksomheder

logo
HR-jura Corporate Teknologi

22. oktober 2021

Ny vejledning om whistleblowerordninger

logo
Teknologi

23. september 2021

Datatilsynets whistleblowerordning er på vej

logo
Teknologi

9. september 2021

Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner

logo
Teknologi

19. august 2021

Storbritannien er nu et ”sikkert tredjeland” for persondataoverførsler

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat