DA
Persondata HR-jura

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo
Juranyt
calendar 12. april 2019
globus Danmark

De fleste databrud sker på grund af simple fejl som glemte telefoner og USB-sticks eller fejl i e-mailadresser. Men selvom risikoen for, at en medarbejder begår menneskelige fejl ikke helt kan elimineres, har virksomheder et ansvar for at reducere chancerne gennem forskellige sikkerhedstiltag. Det fastslog det britiske datatilsyn ICO, der blandt andet, som følge af en virksomheds mangelfulde træning og utilstrækkelige sikkerhedstiltag, udstedte en bøde på 120.000 GBP.

Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.

Medarbejders glemte USB-stik udløste databrud

Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere

Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.

Virksomheder er ansvarlige for at sikre overholdelse af interne politikker

Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.

IUNO mener

Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]

Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.

Medarbejders glemte USB-stik udløste databrud

Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere

Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.

Virksomheder er ansvarlige for at sikre overholdelse af interne politikker

Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.

IUNO mener

Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
HR-jura

6. december 2019

Ikke aldersdiskrimination at opsige virksomhedens ældste medarbejder

logo
HR-jura

28. november 2019

Medarbejder uberettiget bortvist for at have sendt fortroligt materiale til sin private e-mail

logo
HR-jura

20. november 2019

Opsigelse af medarbejder med knust hæl var forskelsbehandling

logo
HR-jura

14. november 2019

Flyselskabs e-mails var hverken organisationsfjendtlig adfærd eller misbrug af ledelsesretten

logo
HR-jura

7. november 2019

Højesteret: Mistet sygedagpengerefusion kunne ikke modregnes i løn

logo
Persondata

25. oktober 2019

EU-Kommissionen: Privacy Shield består tredje evaluering

Events

logo
HR-jura
2. september 2019

Morgenmøde om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
2. september 2019

Livestream om omstruktureringer i de nordiske lande (Engelsk)

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019

logo
HR-jura
30. januar 2019

Morgenmøde om den nye ferielov 2019 (webinar)

logo
HR-jura
3. december 2018

International HR-jura dag 2018

logo
HR-jura
3. december 2018

Seminar om udvikling og ansættelsesformer (engelsk)

// COOKIE INFORMATION POPUP SCRIPT