Gå til innhold

Lov&Data

3/2022: Personvern
28/10/2022

Nytt om personvern

Av Tue Goldschmieding, partner i Gorrissen Federspiel

Kommissionen sætter en stopper for dansk lovforslag om en strammere regulering af sociale medier

Det danske Erhvervsministerium udsendte den 29. marts 2022 nyhed om et lovforslag vedrørende skærpede krav til sociale medier og ulovligt indhold på platformene. EU-Kommissionen blokerede dog forslaget, da lignende regler er foreslået af Kommissionen ved Europa-Parlamentets forslag til forordning om et indre marked for digitale tjenester (retsakt om digitale tjenester) og om ændring af direktiv 2000/31/EF af 8. maj 2001. Blokeringen skyldes, at Kommissionen ikke vil acceptere, at de danske regler træder i kraft før forordningen.

Det danske forslag indebar, at det skulle være nemt for brugerne at anmelde ulovligt indhold på platformene. Anmeldelsen skulle behandles inden for 24 timer og begrundes over for brugeren, hvis indholdet blev fjernet. Derudover skulle beslutningen om at fjerne indhold fra platformen kunne efterprøves, såfremt brugeren, der fik fjernet indholdet, var uenig i beslutningen. Endelig skulle virksomheden afgive en gennemsigtighedsrapport én gang årligt. Manglende overholdelse af reglerne ville medføre bødestraf.

Det danske forslag stemte i høj grad overens med forordningen, da denne tillige medfører større krav til fjernelse af ulovligt indhold, større gennemsigtighed fra virksomhederne og klageadgang for den bruger, der har fået fjernet indhold. Det danske forslag fraveg forordningen ved at fastsætte en bestemt tidsgrænse for, hvornår ulovligt indhold skulle tages ned.

De danske regler ville være trådt i kraft hhv. den 1. juli 2022 og 1. september 2022, hvorimod det er uklart, hvornår EU-reglerne træder i kraft. Dele af forordningen træder tidligst i kraft i løbet af 2023 og resten i 2024.

Læs pressemeddelelsen her: https://em.dk/nyhedsarkiv/2022/maj/eu-kommissionen-bremser-danske-ambitioner-om-strammere-krav-til-sociale-medier/

Læs om lovforslaget her: https://em.dk/nyhedsarkiv/2022/marts/ny-lovgivning-skal-skaerpe-kravene-til-sociale-medier/

Kommissionen har stillet forslag til en forordning om det europæiske sundhedsområde

Den 3. maj 2022 fremsatte EU-Kommissionen forslag om at etablere et europæisk sundhedsdataområde (EHDS). Forordningen skal ses som led i Kommissionens ønske om at opbygge en europæisk sundhedsunion. Hovedformålet med forslaget er at sikre, at fysiske personer i EU har større kontrol med deres elektroniske sundhedsdata.

På baggrund af covid-19-pandemien, anså Kommissionen det for nødvendigt at regulere sundhedsområdet for at sikre rettidig adgang til sundhedsdata i forbindelse med beredskab og indsats over for sundhedstrusler samt behandling under sundhedskriser. Forslaget fremmer det indre marked for sundhedsydelser ved at muliggøre, at sundhedsdata nemmere kan udveksles mellem sundhedspersonalet i og på tværs af EU-landene ligesom, at denne data kan anvendes på en pålidelig og sikker måde af forskere, innovatorer og politiske beslutningstagere. Derudover får EU-borgerne mulighed for at kontrollere og korrigere deres elektroniske sundhedsdata i deres hjemland samt i andre medlemsstater. Det følger af forslaget til forordningen, at medlemsstaterne skal udpege en digital sundhedsmyndighed, der skal sikre, at borgernes rettigheder beskyttes.

Forslaget bidrager til, at reglerne på sundhedsområdet harmoniseres, hvilket vil være med til at øge sundhedsvæsenets effektivitet i medlemsstaterne.

Læs hele pressemeddelelsen her: https://ec.europa.eu/commission/presscorner/detail/da/ip_22_2711

Læs hele forslaget til forordningen her: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0197

Ny EDPB-vejledning om databeskyttelse på sociale medier

Det Europæiske Databeskyttelsesråd (EDPB) vedtog den 14. marts 2022 en vejledning om databeskyttelse på sociale medier. Denne vejledning omhandler sociale mediers databehandling i såkaldte »interfaces«. Interfaces kendes også som »dark patterns« og vedrører en række fremgangsmåder, som visse sociale medier anvender i forbindelse med databehandling af registreredes oplysninger, når de opretter en brugerprofil.

Et eksempel på »dark patterns« kan være, hvis det sociale medie forsøger følelsesmæssigt at påvirke den registrerede til at træffe bestemte valg for så vidt angår behandlingen af deres personoplysninger. »Dark patterns« kan også være »overloading«, hvor virksomheden præsenterer brugeren for uforholdsmæssigt meget information således, at der forsøges at indsamle flere oplysninger end hvad der er nødvendigt i forhold til formålet i forbindelse med oprettelse af en brugerprofil på virksomhedens sociale medie.

Vejledningen er relevant i forbindelse med dataansvarliges tilrettelæggelse forinden iværksættelse af behandling af personoplysninger, herunder eventuelle designmæssige foranstaltninger, der skal indføres på sociale medier. Den er ligeledes relevant i forbindelse med behandling af personoplysninger om hjemmesidebesøgende, hvor en udformning af en samtykkeløsning eller anden fremgangsmåde benyttes til at behandle personoplysningerne. Her skal den dataansvarlige på samme måde undgå at bruge »dark patterns« til at skubbe en bruger eller besøgende i retning af et bestemt valg når det kommer til den databehandling der foregår, når man som bruger besøger en hjemmeside.

»Dark patterns« har således stor betydning for allerede registrerede brugere og fremtidige brugere på sociale medier.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/mar/ny-edpb-vejledning-om-databeskyttelse-i-interfaces-paa-sociale-medier

Læs EDPBs pressemeddelelse her: https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-art-60-gdpr-guidelines-dark-patterns-social-media-platform_en

Det Europæiske Databeskyttelsesråd (EDPB) har vedtaget en ny fælleseuropæisk bødevejledning

Det Europæiske Databeskyttelsesråd (EDPB) vedtog den 12. maj 2022 en ny fælleseuropæisk bødevejledning.

Bødevejledningen, der blev udarbejdet i gruppen Task Force Fining, uddyber selve fremgangsmåden ved bødeberegningen vedrørende reglerne om Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«).

Retningslinjerne, der skal harmonisere praksis for bødeberegningen i hele Det Europæiske Økonomiske Samarbejdsområde, indeholder en beregningsmetode bestående af fem trin.

For det første skal databeskyttelsesmyndighederne fastslå, om den pågældende sag vedrører et tilfælde af strafbar adfærd, og om de har ført til en eller flere overtrædelser. Derved afklares, hvilke overtrædelser der kan pålægges bøder for.

For det andet baserer databeskyttelsesmyndighederne beregningen af bøden på et udgangspunkt, som EDPB nu giver en harmoniseret metode for.

For det tredje skal databeskyttelsesmyndighederne tage hensyn til skærpende eller formildende faktorer, der kan øge eller mindske bødens størrelse. EDPB giver en ensartet fortolkning af disse faktorer.

Det fjerde trin er, at fastsætte maksimumsbeløb for bøder som fastsat i GDPR art. 83, stk. 4-6, og at sikre, at disse beløb ikke overskrides.

Som det femte og sidste trin, skal databeskyttelsesmyndighederne vurdere, om det endelige beløb opfylder kravene om effektivitet, afskrækkende virkning og proportionalitet, eller om der er behov for yderligere justeringer af beløbet.

Retningslinjerne er et vigtigt supplement til de rammer, som EDPB er ved at opbygge for et mere effektivt og harmoniseret samarbejde mellem de nationale databeskyttelsesmyndigheder.

Retningslinjerne sendes til offentlig høring i en periode på seks uger, hvorefter en endelig version af retningslinjerne, under hensyntagen til tilbagemeldinger fra de hørte parter, vedtages.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/maj/ny-faelleseuropaeisk-boedevejledning

Læs EDPBs pressemeddelelse her: EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement | European Data Protection Board (europa.eu)

Læs hele vejledningen her: https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

Ny EDPB-vejledning om brug af certificering som overførselsgrundlag

Den 14. juni 2022 vedtog Det Europæiske Databeskyttelsesråd (»EDPB«) en vejledning med henblik på offentlig høring, om brugen af certificeringsordninger som grundlag for overførsel af personoplysninger til et tredjeland eller en international organisation i henhold til Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 46, stk. 2, litra f.

EDPB har tidligere offentliggjort generelle vejledninger vedrørende certificering og akkreditering under GDPR. Hovedformålet med den nye vejledning er derfor at skabe yderligere klarhed om den praktiske anvendelse af certificeringsordninger som overførelsesgrundlag. EDPB vejleder således om de specifikke aspekter af certificering som et værktøj til overførelser, når der ikke foreligger en tilstrækkelighedsafgørelse.

Vejledningen omfatter oprettelsen af en certificeringsordning for dataimportører, dataansvarlige og databehandlere fra tredjelande i forbindelse med én eller flere behandlinger. Certificeringen vil gøre det muligt for disse dataimportører at påvise, at der eksisterer passende sikkerhedsforanstaltninger til at imødegå de specifikke risici, der er forbundet med overførsel af personoplysninger fra enheden baseret i EØS. Ifølge vejledningen er dataeksportøren i EØS ansvarlig for at sikre, at dataimportørens certificering er effektiv i lyset af karakteristika for den påtænkte behandling og den gældende lov og praksis i tredjelandet. Vejledningen nævner specifikt, at dataeksportøren bør kontrollere, at der foreligger en kontrakt eller et andet juridisk bindende dokument mellem den certificerede dataimportør og certificeringsorganet.

Vejledningen er sendt til offentlig høring indtil udgangen af september 2022, hvorefter EDPB i lyset af de indkomne høringssvar vil vurdere behovet for eventuelle ændringer, før vejledningen endeligt vedtages.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/jun/edpb-vedtager-vejledning-om-brug-af-certificering-som-overfoerselsgrundlag

Læs EDPBs pressemeddelelse her: https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-certification-tool-transfers-and-art-65-dispute-resolution_lt

Læs hele vejledningen her: edpb_guidelines_202207_certificationfortransfers_en_1.pdf (europa.eu)

Datatilsynet redegør for begrebet »dataeksportør«

Det danske Datatilsyn udsendte den 8. juni 2022 nyhed om, at Datatilsynet har udarbejdet en kort vejledende tekst, der redegør for tilsynets vurdering af begrebet »dataeksportør«.

Redegørelsen udspringer af, at tilsynet har modtaget et stigende antal spørgsmål vedrørende overførsel af personoplysninger til tredjelande i lyset af EU-Domstolens dom i sag C-311/18, Screms II, som vedrørte brugen af EU-Kommissionens standardkontrakter og EU US Privacy Shield.

Vejledningen har til formål at redegøre for tilsynets vurdering af, hvem der i praksis er ansvarlig for at sikre, at overførsel af personoplysninger til tredjelande er lovlig, når overførslen sker på baggrund af Kommissionens standardkontrakt.

Tilsynet vurderer, at Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 44, som indeholder det generelle princip for overførsel af personoplysninger til tredjelande, er en forpligtelse for både den dataansvarlige og databehandleren. Således er begge parter forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen.

Det gælder i praksis også i de tilfælde, hvor databehandleren har indgået en standardkontrakt med eventuelle underdatabehandlere i tredjelande i henhold til GDPR artikel 46, stk. 2, litra c, der hjemler brugen af standardbestemmelser om databeskyttelse vedtaget af Kommissionen. Den dataansvarlige skal herefter sikre sig, og kunne påvise over for Datatilsynet, at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder om nødvendigt ved implementering af supplerende foranstaltninger.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jun/om-begrebet-%e2%80%9ddataeksportoer%e2%80%9d

Læs den vejledende tekst her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cloud/om-begrebet-dataeksportoer

Står det i databehandleraftalen, er det ikke en utilsigtet overførsel

Kort efter at det danske Datatilsyn den 9. marts 2022 udgav en vejledning om brugen af cloud services henvendte virksomheden KOMBIT sig til Datatilsynet med et konkret spørgsmål foranlediget af vejledningens afsnit om udlevering af oplysninger til myndigheder i tredjelande.

KOMBIT leverer systemet Aula til de danske kommuner, og benytter i den forbindelse underleverandøren Netcompany, som yderligere benytter Amazon Web Services som underleverandør. KOMBIT behandler som udgangspunkt personoplysninger inden for EU/EØS, men af databehandleraftalen mellem Netcompany og Amazon Web Services fremgår, at dette kan fraviges i to tilfælde. For det første, hvis det er nødvendigt for leveringen af visse specifikke AWS services valgt af servicebrugeren og for det andet, hvis det er nødvendigt for at overholde lovgivning eller bindende myndighedsanmodninger.

Det konkrete spørgsmål var, hvorvidt der var tale om en utilsigtet eller tilsigtet overførsel, i det tilfælde muligheden for overførsel af personoplysninger til myndigheder i tredjelande fremgår af databehandlerens standarddatabehandleraftale.

Det var Datatilsynets opfattelse, at der ville være tale om en tilsigtet overførsel af personoplysninger til tredjelande for kommunernes vedkommende, hvis og i det omfang Amazon Web Services imødekommer en anmodning fra en offentlig myndighed i et tredjeland, der omfatter personoplysninger, som kommunerne er dataansvarlige for. I den forbindelse fremhævede Datatilsynet, at kommunerne som dataansvarlig skal sikre, at reglerne om overførsler til tredjelande overholdes, når eller hvis Amazon Web Services foretager en sådan overførsel i henhold til den instruks, der fremgår af databehandleraftalen. Endvidere lagde datatilsynet op til en videre dialog om den nævnte problemstilling.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/apr/staar-det-i-databehandleraftalen-er-det-ikke-utilsigtet

Læs hele Datatilsynets svar her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/vedroerende-tilsigtede-eller-utilsigtede-overfoersler-til-tredjelande

For første gang straffes en dansk offentlig myndighed for overtrædelse af GPDR-reglerne

Retten i Roskilde har den 9. marts 2022 idømt Lejre Kommune til at betale en bøde på 50.000 kr. på baggrund af manglende betalingssikkerhed.

Sagen blev politianmeldt af det danske Datatilsyn tilbage i juni 2020 og vedrører en overtrædelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32 om passende tekniske og organisatoriske sikkerhedsforanstaltninger. Den konkrete sag drejede sig om, at Lejre Kommunes praksis om, at mødereferater, der indeholdte personoplysninger med særlig følsom karakter, herunder om borgere under 18 år, blev uploadet på kommunens medarbejderportal. Dette medførte, at en stor del af kommunens ansatte havde adgang til referaterne, uagtet at de ikke arbejdede med den type sager. Kommunen levede dermed ikke op til kravene om passende sikkerhedsforanstaltninger.

Retten lagde særligt vægt på omfanget samt karakteren af de følsomme oplysninger. Samtidig blev der lagt vægt på antallet af personer, der havde haft uberettiget adgang til oplysningerne over en længere periode.

Retten idømte på denne baggrund Lejre Kommune en bøde på 50.000 kr. Denne bøde stemmer overens med det beløb som Datatilsynet havde indstillet i forbindelse med politianmeldelsen.

Dommen findes særligt interessant, idet den udgør den første dom, hvor en dansk offentlig myndighed straffes for overtrædelse af de databeskyttelsesretlige regler.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/foerste-gdpr-boede-til-offentlig-myndighed

Datatilsynet meddeler advarsel til Fysio Danmark Hillerød ApS i en sag om påtænkt anvendelse af ansigtsgenkendelsessystem

Det danske Datatilsyn traf den 17. marts 2022 afgørelse i sagen 2021-431-0145 vedrørende en virksomheds påtænkte brug af et system til ansigtsgenkendelse.

Datatilsynet vurderede i sagen, hvorvidt Fysio Danmark Hillerød ApS’ (»Fysio Danmark«) påtænkte anvendelse af et ansigtsgenkendelsessystem var i overensstemmelse med reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«)

Fysio Danmark påtænkte at anvende et ansigtsgenkendelsessystem til både kunder og ansatte, der udtrykkeligt havde samtykket hertil. Ansigtsgenkendelsessystemet skulle bruges som adgangskontrol, samt til statistik og forretningsoptimering ved behandling af oplysninger om kundernes opholdstider i fitnesscenteret. For kunder eller ansatte, der ikke ønskede at give samtykke til ansigtsgenkendelsessystemet, var det muligt at få adgang til fitnesscenteret ved andre løsninger.

Datatilsynet vurderede, at det ikke var i strid med GDPR at bruge ansigtsgenkendelsessystemet for kunder og ansatte, der havde givet et udtrykkeligt og frivilligt samtykke. Vedrørende frivilligheden af de ansattes samtykke, lagde Datatilsynet særligt vægt på, at der tilbydes andre adgangsløsninger, samt at det alene er den ansattes ankomsttid der registreres, hvorimod der ikke lagres oplysninger om, hvornår den ansatte forlader arbejdspladsen.

Vedrørende brugen af ansigtsgenkendelsessystemet til forretningsoptimering vurderede Datatilsynet, at det ville være i strid med GDPR, hvis kunden ikke har givet udtrykkeligt samtykke hertil. Idet den nuværende samtykkeløsning ikke levede op til dette, meddelte Datatilsynet Fysio Danmark en advarsel efter GDPR artikel 58, stk. 2, litra a.

Datatilsynet tildelte ligeledes en advarsel for anvendelsen af ansigtsgenkendelsessystemet, da der ved den påtænkte måde ville blive behandlet biometriske data om personer, der ikke havde givet samtykke.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/datatilsynet-har-truffet-afgoerelse-i-en-sag-om-brugen-af-et-system-til-ansigtsgenkendelse

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/datatilsynet-har-truffet-afgoerelse-i-en-sag-om-brugen-af-et-system-til-ansigtsgenkendelse

Danske Bank politianmeldes og indstilles til bøde på DKK 10 mio. grundet manglende sletning

Den 5. april 2022 meddelte Det danske Datatilsyn, at Danske Bank var blevet anmeldt til politiet og indstillet til en bøde på DKK 10 mio. af Datatilsynet for ikke at kunne dokumentere, at de har slettet personoplysninger i overensstemmelse med databeskyttelsesreglerne.

Politianmeldelsen og indstillingen til bøde skete på baggrund af, at Datatilsynet i november 2020 indledte en sag af egen drift, efter at Danske Bank havde oplyst, at de havde identificeret et problem med sletning af personoplysninger. Datatilsynets undersøgelse påviste, at Danske Bank i mere end 400 systemer ikke havde kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger om flere millioner registrerede, eller at der var foretaget manuel sletning af personoplysninger.

Datatilsynet lagde vægt på, at der bør idømmes en bøde, idet overtrædelsen vedrører et grundlæggende princip for behandling af personoplysninger, nemlig at man kun må behandle oplysninger, man har brug for, ligesom behandlingen berører et meget stort antal registrerede.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/apr/danske-bank-indstilles-til-boede

Gyldendal politianmeldt for at opbevare oplysninger om over 650.000 tidligere medlemmer i længere tid end nødvendigt

Det danske Datatilsyn udsendte den 22. juni 2022 en nyhed om, at Datatilsynet efter et tilsynsbesøg hos Gyldendal A/S har anmeldt virksomheden til politiet og indstillet forlaget til en bøde på 1.000.000 mio. kr. Anmeldelsen kommer på baggrund af, at Gyldendal har opbevaret oplysninger om ca. 685.000 udmeldte medlemmer af Gyldendals bogklub i længere tid end nødvendigt.

Oplysningerne blev opbevaret i en »passiv database«, hvortil Gyldendal ikke havde procedurer eller retningslinjer for sletning af oplysningerne. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, at medlemmerne havde meldt sig ud af bogklubberne.

Opbevaringen er efter tilsynets opfattelse i strid med to grundlæggende principper for behandling af personoplysninger, nemlig principperne om »opbevaringsbegrænsning« og »ansvarlighed«. Herudover berører overtrædelsen et meget stort antal registrerede. Datatilsynet fandt på denne baggrund grundlag for at indstille Gyldendal til en bøde efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 83, stk. 2, hvorefter der skal foretages en konkret vurdering af sagens grovhed ved vurderingen af, hvilken sanktion, der er mest hensigtsmæssig.

Tilsynet har ved vurderingen af bødens omfang i skærpende retning lagt vægt på, at der var tale om et grundlæggende problem, frem for en enkeltstående fejl samt at overtrædelsen efter tilsynets vurdering er begået forsætligt. Det har derimod i formildende retning bl.a. været tillagt vægt, at Gyldendal har ageret særdeles samarbejdsvillig, og at der ifølge Gyldendal alene var to medarbejdere, der havde adgang til den passive database.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jun/gyldendal-indstilles-til-boede

En svævende hængelås dannet af lyspunkter over en slags nøglestruktur i et blåt rum, digital illustration.

Datatilsynet udtaler kritik af e-Boks for utilstrækkelig sikkerhed i e-Boks Express

Det danske Datatilsyn traf den 3. marts 2022 afgørelse i sagen 2021-431-0138 vedrørende manglende sikkerhed i selvbetjeningsportalen e-Boks Express.

I marts 2021 startede Datatilsynet af egen drift en sag mod e-Boks, efter man var blevet gjort opmærksom på, at der var sket et databrud hos selvbetjeningsportalen.

Databruddet skyldtes en fejlopsætning i Nets’ brugervalidering, hvilket resulterede i, at det var muligt for brugere af portalen at tilgå andre brugeres profiler. Databruddet omfattede alene de tilfælde, hvor en bruger tilgik e-Boks Express med medarbejdersignatur, dvs. nøglekort eller nøgleapp.

Datatilsynet vurderede, at e-Boks ikke havde truffet passende sikkerhedsforanstaltninger, ved ikke at have foretaget test af alle relevante brugsscenarier ved login i e-Boks Express med NemID, og kom frem til, at e-Boks sikkerhedsniveau var i strid med Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32, stk. 1.

På baggrund af ovenstående udtalte Datatilsynet kritik af e-Boks’ manglende sikkerhedsforanstaltninger. Datatilsynet lagde herved særligt vægt på, at fejlfindingsprocedurer ligeledes skal afdække mulige fejlscenarier i den valgte log-on komponent.

I formildende retning lagde Datatilsynet vægt på, at det udelukkende var muligt at se den anden profils virksomhedsnavn, titlen på afsendte beskeder og afsendelsestidspunktet for beskederne.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/-e-boks-faar-kritik-for-ikke-at-have-passende-sikkerhed

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/e-boks-faar-kritik-for-ikke-at-have-passende-sikkerhed

Digitaliseringsstyrelsen får kritik for at basere sin sikkerhed på, at der ikke tidligere er sket menneskelige fejl

Det danske Datatilsyn traf den 4. marts 2022 afgørelse i sagen 2021-442-12425 vedrørende manglende sikkerhedsforanstaltninger hos den danske Digitaliseringsstyrelse.

Den 31. marts 2021 meddelte Digitaliseringsstyrelsen, at der var sket et brud på persondatasikkerheden. I forbindelse med tildeling af kuratoradgang til virksomheders digitale postkasser, havde Digitaliseringsstyrelsen fejlagtigt forskudt linjerne på CVR-numrene på den relevante liste. Adgangshaverne og adgangsgiverne var således sammensat forkert. Der var sket i alt 26 brud på datasikkerheden af ovenstående karakter.

Datatilsynet vurderede, at Digitaliseringsstyrelsen ikke havde truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger. Begrundelsen herfor var, at Digitaliseringsstyrelsen alene havde baseret sikkerhedsniveauet på, at der ikke før var sket menneskelige fejl af samme karakter.

På baggrund af ovenstående udtalte Datatilsynet kritik af Digitaliseringsstyrelsen for ikke at overholde Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32, stk. 1, som netop omhandler indretningen af et passende sikkerhedsniveau.

Digitaliseringsstyrelsen har efterfølgende justeret deres procedurer, ved at implementere et flerøjneprincip ved tildeling af kuratoradgang til virksomhedspostkasserne.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/-digitaliseringsstyrelsen-faar-kritik-for-ikke-at-have-haft-passende-sikkerhed-

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/digitaliseringsstyrelsen-faar-kritik-for-ikke-at-have-haft-passende-sikkerhed

Dataansvarlige skal føre kontrol med, om der ved en fejl er gemt personoplysninger i it-miljøer, selvom disse ikke må bruges til opbevaring af personoplysninger

Det danske Datatilsyn traf den 16. marts 2022 afgørelse i sagen 2021-442-12991 vedrørende manglende kontrol med lagring af personoplysninger i visse it-miljøer.

Den danske Sundhedsdatastyrelse meddelte i maj 2021, at der var sket et brud på persondatasikkerheden. En tidligere medarbejder havde fejlagtigt gemt et dataudtræk indeholdende pseudonymiserede helbredsoplysninger i programmet Microsoft Aure DevOps, som blev brugt til opgavestyring. Programmet udgjorde således ikke et it-miljø, hvor persondata normalt blev lagret. Af samme årsag, havde sundhedsdatastyrelsen ikke indrettet nogle mekanismer til at kontrollere miljøet for lagrede persondata.

Datatilsynet vurderede på den baggrund, at Sundhedsdatastyrelsen ikke havde etableret et passende sikkerhedsniveau, idet man ikke havde ført tilstrækkelig kontrol med visse it-miljøer.

Ved vurderingen lagde Datatilsynet særligt vægt på, at der var tale om en stor mængde personoplysninger om forskellige borgere fra region Hovedstaden, og at der gik ca. et år før sikkerhedsbruddet blev meddelt.

I formildende retning vurderede Datatilsynet, at personoplysningerne havde været pseudonymiseret og kun var tilgængelige for enkelte særlige medarbejdere.

På baggrund af ovenstående udtalte Datatilsynet kritik af, at Sundhedsdatastyrelsens kontrol med behandlingen af personoplysninger er i strid med reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32, stk. 1, om passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/mar/sundhedsdatastyrelsen-faar-kritik-for-manglende-kontrol-med-personoplysninger-i-it-miljoe

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/mar/sundhedsdatastyrelsen-faar-kritik-for-manglende-kontrol-med-personoplysninger-i-it-miljoe

Tue Goldschmieding
Tue Goldschmieding, portrett