Manglende træning af virksomhedens medarbejdere kan udløse bøder
De fleste databrud sker på grund af simple fejl som glemte telefoner og USB-sticks eller fejl i e-mailadresser. Men selvom risikoen for, at en medarbejder begår menneskelige fejl ikke helt kan elimineres, har virksomheder et ansvar for at reducere chancerne gennem forskellige sikkerhedstiltag. Det fastslog det britiske datatilsyn ICO, der blandt andet, som følge af en virksomheds mangelfulde træning og utilstrækkelige sikkerhedstiltag, udstedte en bøde på 120.000 GBP.
Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.
Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.
Medarbejders glemte USB-stik udløste databrud
Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.
På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.
Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.
Virksomheder skal sikre træning af medarbejdere
Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.
Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.
Virksomheder er ansvarlige for at sikre overholdelse af interne politikker
Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.
ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.
IUNO mener
Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.
IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.
[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]
Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.
Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.
Medarbejders glemte USB-stik udløste databrud
Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.
På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.
Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.
Virksomheder skal sikre træning af medarbejdere
Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.
Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.
Virksomheder er ansvarlige for at sikre overholdelse af interne politikker
Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.
ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.
IUNO mener
Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.
IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.
[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]