DA
HR-jura Teknologi

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo
Juranyt
calendar 12. april 2019
globus Danmark

De fleste databrud sker på grund af simple fejl som glemte telefoner og USB-sticks eller fejl i e-mailadresser. Men selvom risikoen for, at en medarbejder begår menneskelige fejl ikke helt kan elimineres, har virksomheder et ansvar for at reducere chancerne gennem forskellige sikkerhedstiltag. Det fastslog det britiske datatilsyn ICO, der blandt andet, som følge af en virksomheds mangelfulde træning og utilstrækkelige sikkerhedstiltag, udstedte en bøde på 120.000 GBP.

Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.

Medarbejders glemte USB-stik udløste databrud

Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere

Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.

Virksomheder er ansvarlige for at sikre overholdelse af interne politikker

Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.

IUNO mener

Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]

Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.

Medarbejders glemte USB-stik udløste databrud

Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere

Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.

Virksomheder er ansvarlige for at sikre overholdelse af interne politikker

Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.

IUNO mener

Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
HR-jura

27. marts 2024

Regler om løngennemsigtighed på vej

logo
HR-jura

26. marts 2024

Tvillingeforældre får ekstra barsel

logo
HR-jura Litigation Teknologi

11. marts 2024

Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet

logo
HR-jura

8. marts 2024

Faldskærmen der viste sig at være en rygsæk

logo
HR-jura

3. marts 2024

Ingen kære mor

logo
HR-jura

25. februar 2024

Forskellig løn var fair løn

Holdet

Alexandra

Jensen

Juridisk rådgiver

Anaïs

Kjærgaard Crouzet

Advokatfuldmægtig

Anders

Etgen Reitz

Partner

Caroline

Thorsen

Junior juridisk assistent

Cecillie

Groth Henriksen

Advokat

Johan

Gustav Dein

Advokatfuldmægtig

Julie

Meyer

Senior juridisk assistent

Kirsten

Astrup

Managing associate (orlov)

Maria

Kjærsgaard Juhl

Juridisk rådgiver

Sofie

Aurora Braut Bache

Managing associate

Søren

Hessellund Klausen

Partner