Utilsigtede modtagere omfattet af indsigtsretten

Det danske datatilsyn (»Datatilsynet«) har den 26. september 2024 truffet afgørelse i to sager under journalnummeret 2023-32-0023 vedrørende den registreredes indsigtsret.

Sagerne udsprang af et brud på persondatasikkerheden hos Skattestyrelsen, hvor der ved en fejl i forbindelse med en aktindsigtsanmodning var videregivet en række personoplysninger til ansøgeren om aktindsigt. To berørte borgere fremsatte herefter anmodning om indsigt i identiteten af den pågældende der havde fået utilsigtet adgang, hvilket dog blev afvist af Udviklings- og Forenklingsstyrelsen.

Efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) art. 15, stk. 1, har en registreret ret til at modtage bekræftelse på, om personoplysninger vedrørende denne behandles, adgang til disse personoplysninger, samt de i litra a-h nævnte forhold, herunder de modtagere eller kategorier af modtager, som personoplysningerne er eller vil blive videregivet til efter litra c.

Sagerne rejste spørgsmål af principiel betydning for indsigtsretten, idet indsigt i modtagerens identitet blev afvist under henvisning til, at Udviklings- og Forenklingsstyrelsen fandt identitetsoplysningerne omfattet af den særlige tavshedspligt i henhold til den danske skatteforvaltningslov § 17, stk. 1, jf. lovbekendtgørelse nr. 1053 af 20. september 2024, og dermed undtaget retten til indsigt efter den danske databeskyttelseslov § 22, stk. 3, jf. lovbekendtgørelse nr. 289 af 8. marts 2024. Der var derfor grundlag for at vurdere, hvorvidt også utilsigtede modtagere af personoplysninger omfattes af indsigtsretten, og i bekræftende fald om en revisors identitetsoplysninger omfattes af tavshedspligten i skatteforvaltningslovens § 17, stk. 1, og dermed kan undtages efter databeskyttelseslovens § 22, stk. 3. Henset til sagens principielle genstandsfelt, blev spørgsmålet forelagt det danske Dataråd.

Datatilsynet fandt herefter, at der vedrørende identiteten af en revisor, dvs. navn og kontaktoplysninger, ikke i alle tilfælde kan være tale om oplysninger, som omfattes af ovennævnte tavshedspligt. Dette var af hensyn til, at dette er oplysninger, som kan være offentligt kendte eller tilgængelige, eller efter almindelig opfattelse er ufortrolige; om end konteksten hvori oplysningerne indgår kunne føre til et andet resultat. For så vidt angik identitetsoplysningerne på revisorens klient, på hvis vegne revisorens havde foretaget aktindsigtsanmodningen, fandt Datatilsynet dog modsat at der var tale om tavshedsbelagte oplysninger undtaget indsigtsretten efter GDPR art. 15.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/borgere-havde-ret-til-indsigt-i-navn-paa-utilsigtet-modtager

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/sep/borgere-havde-ret-til-indsigt-i-navn-paa-utilsigtet-modtager

Databehandling udover det nødvendige ved app til udbetaling af pant

Det danske datatilsyn (»Datatilsynet«) har i en afgørelse af 26. september 2024 udtalt alvorlig kritik af Dansk Retursystems pant-app samt udstedt en advarsel og et påbud om, at selskabet bringer databehandlingen i overensstemmelse med GDPR. Sagen er offentliggjort under journalnummeret 2023-431-0013.

Sagen udsprang af Datatilsynets undersøgelse af Dansk Retursystems app »Pant«, hvis formål var at udbetale pant via direkte pengeoverførsler. Genstanden var appens databehandling, som i relation hertil indeholdt en tredjepartskomponent, der indhentede brugerens kontooplysninger for at kunne udbetale penge til den korrekte konto. Tredjepartsløsningen indsamlede dog yderligere oplysninger såsom saldi, identitetsoplysninger og transaktionshistorik, hvilke dog ikke blev videregivet til Dansk Retursystem.

Datatilsynet anerkendte indledningsvist, at udviklingen af it-løsninger ofte sker ved brug kodebiblioteker, API’er og andre dataintegrationer, der ikke nødvendigvis hidrører fra den dataansvarliges egen organisation. Tilsynet understregede imidlertid, at anvendelsen af en tredjepartsløsning ikke fritager en dataansvarlig fra forpligtelsen til selvstændigt at vurdere, hvorvidt databehandlingen er i tråd med GDPR, herunder om databeskyttelsen er tilstrækkeligt implementeret gennem design efter art. 25.

Datatilsynet udtalte, at en dataansvarlig i sådant tilfælde bør foretage en risikovurdering af anvendt tredjepartssoftware, og hvor denne tredjepart ikke tilbyder en mulighed for at tilpasse eller begrænse behandlingen af personoplysninger til hvad der er i overensstemmelse med bl.a. de grundlæggende principper i GDPR, vil løsningen ikke lovligt kunne anvendes. Konkret fandt Datatilsynet, at databehandlingen var sket i strid med GDPR art. 5 og art. 25, idet behandlingen klart gik ud over det nødvendige i forhold til formålet, samt at indsamlingen var sket på uklar vis ved at angive i brugerbetingelserne, at der i visse brugstilfælde kunne indhentes og behandles flere data end dem, som benyttes til formålet.

Afslutningsvist udtalte Datatilsynet, at principperne som fastlagt i afgørelsen fremover vil være retningsgivende for sanktionsvalget i lignende sager, og særligt for lignende offentlige og private institutionelle aktører af tjenester, som på tilsvarende vis opererer på et område med et begrænset udvalg af udbydere.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/alvorlig-kritik-paabud-og-advarsel-i-sag-om-pant-app

Læs Datatilsynet afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/sep/alvorlig-kritik-paabud-og-advarsel-i-sag-om-pant-app

Datatilsynet godkendte Helsingør Kommunes behandling af ulovligt tilvejebragte oplysninger

Det danske Datatilsyn (»Datatilsynet«) har den 13. september 2024 truffet afgørelse i en sag med journalnummer 2024-32-0482 om Helsingør Kommunes behandling af oplysninger, som var ulovligt tilvejebragt.

En borger klagede til Datatilsynet over, at Helsingør Kommune havde valgt på trods af klagers indsigelser at anvende oplysninger fra aflytninger af faren til klagers barn, i form af skjulte mikrofoner og transskriberinger heraf. Aflytningerne havde resulteret i en straffedom for ulovlig aflytning. Kommunen havde oprindeligt afvist at anvende oplysningerne, men omgjorde beslutningen efter henvendelse fra Familieretshuset, der udtrykte bekymring af hensyn til barnets bedste. Det var kommunens vurdering som dataansvarlig, at behandlingen af oplysningerne tjente et sagligt og nødvendigt formål.

Det følger af Datatilsynets praksis, at behandling af ulovligt tilvejebragte oplysninger, kan være i strid med princippet om rimelighed i henhold til GDPR art. 5, stk. 1, litra a. Dette beror på en konkret vurdering i den enkelte sag. Datatilsynet fandt dog, efter at have forelagt sagen i Datarådet, at behandlingen konkret var rimelig, herunder henset til formålet med kommunens behandling af oplysningerne, der navnlig var at afdække, om der var behov for at træffe foranstaltninger med henblik på at sikre barnets tarv.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/helsingoer-kommunes-behandling-af-ulovligt-tilvejebragte-oplysninger-var-i-overensstemmelse-med-databeskyttelsesreglerne

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/sep/helsingoer-kommunes-behandling-af-ulovligt-tilvejebragte-oplysninger-var-i-overensstemmelse-med-databeskyttelsesreglerne

Datatilsynet gennemførte tilsyn med behandlingssikkerheden i 48 kommuner

Det danske Datatilsyn (»Datatilsynet«) har den 15. oktober 2024 udgivet en vejledning på baggrund af et tilsyn iværksat 7. maj 2024 hos 48 kommuner. Tilsynet baserede sig på kommunernes egen-evaluering i forhold til grundlæggende behandlingssikkerhed.

I tilsynet med kommunernes modenhed indgik de tekniske minimumskrav for statslige myndigheder, som Datatilsynet vurderede, repræsenterer best practice og i mange tilfælde allerede følger af gældende praksis fra Datatilsynet og andre relevante myndigheder.

Datatilsynets offentliggjorte vejledning vedrører fem udvalgte indsatsområder, hvor kommunerne konkret bør sætte ind for at leve op til reglerne. Det gælder i) procedurer for sletning, ii) foranstaltninger mod utilsigtet deling, iii) rettighedsstyring, iv) konsekvensanalyse og v) domænesikkerhed.

Det bør desuden fremhæves, at alle kommuner yderligere har modtaget en individuel rapport med konkrete anbefalinger, som de skal arbejde videre med for at styrke behandlingssikkerheden.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/datatilsynet-har-afsluttet-skriftlige-tilsyn-med-behandlingssikkerheden-i-48-kommuner

Læs Datatilsynets vejledning her: https://www.datatilsynet.dk/Media/638645884892374561/Tilsyn%20med%20kommunernes%20modenhed%20i%20forhold%20til%20grundl%C3%A6ggende%20behandlingssikkerhed%202024.pdf

Boliglag.dk får kritik for manglende lovligt behandlingsgrundlag ved sin behandling af oplysninger om boligejere

Det danske Datatilsyn (»Datatilsynet«) har den 16. oktober 2024 truffet afgørelse i en sag med journalnummer 2024-431-0033 om boligsiden Boliglag.dk’s manglende behandlingsgrundlag ved behandling af oplysninger om boligejere.

Datatilsynet havde indledt sagen af egen drift efter en række modtagne klager. I undersøgelsen af sagen fandt Datatilsynet, at det på hjemmesiden var muligt at tilgå oplysninger om bl.a. navn, køn og alder på nuværende og tidligere ejere af boliger samt boligernes salgshistorik og salgsværdi. Oplysningerne kunne fremsøges enten ved at søge på en bestemt adresse eller ved at søge direkte på en fysisk persons navn.

Datatilsynet fandt efter en konkret vurdering, at der var grundlag for at udtale kritik i sagen, da behandlingen af personoplysninger ikke kunne ske inden for rammerne af interesseafvejningsreglen i GDPR art. 6, stk. 1, litra f). Dette var på trods af, at det efter Datatilsynets vurdering normalt vil være tilladt for en dataansvarlig at behandle personoplysninger, som er indhentet fra et eller flere offentligt tilgængelige registre, og som allerede er offentliggjort.

Datatilsynet udtalte, at formålet om at skabe større gennemsigtighed på boligmarkedet og fremme adgangen til offentligt tilgængelige boligdata på en nem og overskuelig måde uden betaling til brug for bolighandel m.v. er sagligt og relevant. Dog fandt de, at dette formål kunne forfølges lovligt på en mindre indgribende måde end det hændte.

Datatilsynet lagde i den henseende vægt på, at de registrerede ikke med rimelighed kunne forvente en så omfattende samkøring og offentliggørelse af deres personoplysninger, som hjemmesiden foranledigede. Det var desuden særligt indgribende, at oplysningerne kunne fremsøges ved en søgning på den enkelte persons navn.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/boliglagdk-faar-kritik-for-ulovlig-behandling-af-oplysninger-om-boligejere

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/okt/boliglagdk-faar-kritik-for-ulovlig-behandling-af-oplysninger-om-boligejere

Datatilsynet har offentliggjort et afsluttende brev i forbindelse med deres tilsyn med en række frie grundskoler

Det danske Datatilsyn (»Datatilsynet«) har den 30. september 2024 offentliggjort et afsluttende brev under journalnummeret 2024-41-0093 i forbindelse med deres tilsyn af 25 udvalgte frie grundskoler. Tilsynets fokus var behandling og hjemmel til videregivelse af personoplysninger samt håndtering af anmodninger om indsigt og sletning.

Formålet med tilsynet var bl.a. et indblik i skolernes »modenhedsniveau« i forhold til efterlevelse af reglerne om hjemmel til videregivelse og håndtering af rettighedsanmodninger.

Datatilsynet fandt, at et større antal af skolernes privatlivspolitikker indeholdt et afsnit, der ikke længere var i overensstemmelse med de gældende databeskyttelsesregler. Afsnittet omhandlede skolens ret til opkrævning af gebyrer for administrative omkostninger ved indsigtsanmodninger. Datatilsynet opfordrede derfor skolerne til at fjerne afsnittet fra deres privatlivspolitikker. Datatilsynet fandt derudover, at der var behov for nærmere vejledning angående hjemmel til videregivelse og håndtering af rettighedsanmodninger.

På denne baggrund samlede Datatilsynet sine generelle observationer og bemærkninger baseret på svar fra skolerne i deres afsluttende brev. I det afsluttende brev indgik bl.a. observationer vedrørende manglende identifikation af specifik hjemmel til behandling af personoplysninger og vejledning om behandling af personoplysninger på baggrund af samtykke, jf. GDPR art. 6, stk. 1, litra a.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/datatilsynet-har-undersoegt-de-frie-grundskolers-behandling-af-personoplysninger

Læs Datatilsynets afsluttende brev her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/sep/datatilsynet-har-undersoegt-de-frie-grundskolers-behandling-af-personoplysninger

Indhentelse af kopi af pas og straffeattester ved rekruttering af medarbejdere var lovlig henset til Parken Services A/S’ særlige risikoprofil

Det danske Datatilsyn (»Datatilsynet«) har den 5. september 2024 truffet afgørelse i en sag om procedurerne for indhentelse af oplysninger i forbindelse med rekruttering af medarbejdere hos Parken Services A/S (»Parken«). Sagen blev afgjort under journalnummeret 2023-431-0025.

Datatilsynet blev efter en konkret henvendelse bekendt med, at Parken indhenter kopi af pas og straffeattester i forbindelse med rekruttering af medarbejdere. I den forbindelse ønskede Datatilsynet at undersøge Parkens overholdelse af princippet om dataminimering i GDPR art. 5, stk. 1, litra c), samt hvilken behandlingshjemmel Parkens behandling af personoplysninger henføres under.

Overordnet fandt Datatilsynet, at behandlingen af personoplysningerne efter en konkret vurdering skete inden for rammerne af databeskyttelsesreglerne.

Vedrørende indhentelsen af kopi af pas fandt Datatilsynet, at der på baggrund af de særlige omstændigheder omkring Parkens rekrutteringsprocedure, herunder det meget store antal personer, som Parken beskæftiger, ikke var grundlag for at tilsidesætte Parkens vurdering i relation til spørgsmålet om dataminimering eller behandlingshjemmel.

Datatilsynet fandt tilsvarende vedrørende spørgsmålet om indhentelse af straffeattester, at Parkens indhentelse af straffeattester, der for løsarbejdere var på ansøgningstidspunktet og for fastansatte var ved beslutningen om ansættelse af den pågældende ansøger, skete inden for rammerne af GDPR.

Der blev i den forbindelse lagt særlig vægt på, at i) Parken havde vurderet nødvendigheden af indhentelsen ved forskellige stillingskategorier, ii) indhentelsen skete på det senest mulige tidspunkt i forhold til rekrutteringsproceduren, og iii) der knyttede sig en helt særlig risikoprofil til Parken på baggrund af en myndighedsvurderet alvorlig og sandsynlig terrorrisiko, som desuden var bekræftet af politiet.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/okt/parken-services-as%E2%80%99-behandling-af-personoplysninger-ved-rekruttering

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/sep/parken-services-as%E2%80%99-behandling-af-personoplysninger-ved-rekruttering

Brøndby Kommune får alvorlig kritik for manglende sikkerhedsforanstaltninger

Den 7. oktober 2024 udtalte det danske Datatilsyn (»Datatilsynet«) alvorlig kritik af Brøndby Kommune for ikke at have truffet tilstrækkelige foranstaltninger til at sikre et passende sikkerhedsniveau af deres IT-systemer. Kritikken omfattede manglende kontrol af adgangsrettigheder og manglende brug af ’Multi-Factor Authentication’ (MFA). Sagen blev behandlet under journalnummer 2023-423-0016.

Datatilsynet fandt indledningsvist, at kommunen ikke udførte tilstrækkelig kontrol med adgangsrettigheder. Selvom kommunen havde retningslinjer for interne brugeres adgang, kunne den ikke dokumentere at disse reelt blev fulgt. Kommunens kontrol bestod af stikprøver af 10 brugere udført én gang årligt, i 2020 og 2021. Samtidig manglede kommunen en formaliseret proces til at sikre, at rettigheder for eksterne brugere blev nedlagt rettidigt.

Datatilsynet konkluderede herefter, at kommunen ikke levede op til GDPR art. 5, stk. 1, litra f, og art. 32, stk. 1. Bestemmelserne kræver, at adgangen til personoplysninger kun gives til brugere med et sagligt behov, og at adgangsrettigheder begrænses til de oplysninger, der er nødvendige for brugerens opgaver. Datatilsynet understregede, at kontrollens hyppighed bør tilpasses de problemer, som kontrollerne afslører.

Datatilsynet fandt for det andet en manglende implementering af MFA på de tre undersøgte IT-systemer, selvom systemerne behandlede særligt beskyttelsesværdige personoplysninger. Systemerne havde direkte adgang fra internettet, hvilket øgede sikkerhedsrisikoen. Datatilsynets fremhævede, at det først var efter tilsynets varsling, at Brøndby kommune valgte at implementere en to-faktor-login.

Datatilsynet udtalte, at kravet om passende sikkerhed indebærer, at kommuner og andre dataansvarlige skal implementere verifikationsforanstaltninger som MFA ved oprettelse af fjernadgange til systemer med følsomme eller fortrolige personoplysninger og/eller oplysninger om mange registrerede.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/nov/broendby-kommune-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/okt/broendby-kommune-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger

Mangel på passende sikkerhedsprocedurer i Kerteminde Kommune

Det danske Datatilsyn (»Datatilsynet«) har udtalt kritik af Kerteminde Kommune for kommunens manglende implementering af passende sikkerhedsforanstaltninger ved behandling af personoplysninger. Sagen er offentliggjort under journalnummeret 2023-423-0019.

Datatilsynet udførte et tilsynsbesøg hos Kerteminde Kommune i efteråret 2023. Datatilsynet vurderede en række forhold, herunder logning og logauditering.

Angående logning og logauditering drejede tilsynsbesøget sig om, hvorvidt Kerteminde Kommune havde indført passende sikkerhedsforanstaltninger i relation til dets medarbejderes færden i kommunens systemer, som påkrævet under GDPR art. 32, stk. 1. Datatilsynet fandt, at kommunen ikke havde faste procedurer for løbende logkontrol af medarbejderne, men kommunen udførte alene en kontrol, hvis der var konkret mistanke om misbrug. Kerteminde Kommune har efterfølgende oplyst, at kommunen vil starte en proces op, der skal sikre løbende kontrol.

Datatilsynet bemærkede generelt, at det er et absolut minimumskrav, at der gennemføres en stikprøveudtagning hvert halve år af systemer, der behandler fortrolige og/eller følsomme oplysninger eller har adgangsrettigheder af en bred karakter. I den forbindelse kan dataansvarlige etablere et alarmsystem ved mistænkelig aktivitet. Hertil skal den dataansvarlige sikre en effektiv implementering af logkontrol, hvilket kan sikres ved at kombinere effektiv kontrol med behørig orientering til medarbejderne om logkontrol. En restriktiv rolle- og adgangsstyring for den dataansvarliges it-systemer er ikke en effektiv foranstaltning, der kan kontrollere om medarbejderne har tilgået personoplysninger på et usagligt grundlag. Der var alene grundlag for kritik vedrørende tilsynets behandling af kommunens logning og logauditering.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/nov/kerteminde-kommune-faar-kritik-for-deres-sikkerhedsprocedurer

Læs Datatilsynet afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/kerteminde-kommune-faar-kritik-for-deres-sikkerhedsprocedurer

Forbedret vejledningsindsats ved brud på persondatasikkerhed

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 26. november 2024 at Datatilsynet har forbedret og udvidet sin vejledning til organisationer ved brud på persondatasikkerheden.

Når en sag afsluttes hos Datatilsynet, oversendes en række links til anmelderen om relevante vejledninger; dels udarbejdet af Datatilsynet, dels materialer, der stammer andetsteds fra. Disse vejledninger udvælges automatisk, men gennemgås manuelt for at tilpasse vejledningerne til den konkrete hændelse. Denne målrettede vejledningsindsats er styrket yderligere ved et nyt tiltag, hvor Datatilsynet fremover vil henvise til et GDPR-univers for små foreninger, når de anmelder et brud på persondatasikkerheden.

Denne øgede indsats skal øge kendskabet til vejledningerne og reducere sandsynligheden for brud på persondatasikkerhed.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/nov/datatilsynet-styrker-vejledningsindsatsen-yderligere-ved-brud-paa-persondatasikkerheden

Lyngby-Taarbæk Kommune politianmeldt af Datatilsynet

Det danske Datatilsyn (»Datatilsynet«) har i en pressemeddelelse af 27. november 2024 offentliggjort, at de har politianmeldt Lyngby-Taarbæk Kommune og indstillet kommunen til en bøde på 350.000-400.000 kr. for brud på forpligtelsen til at gennemføre passende sikkerhedsforanstaltninger som dataansvarlig. Sagen er fortsat under behandling.

Politianmeldelsen udsprang af, at Lyngby-Taarbæk Kommune anmeldte en række brud på persondatasikkerheden om uautoriseret adgang til personoplysninger. Anmeldelserne drejede sig om manglende retningslinjer og procedure for nedlæggelse af brugeradgang og fravær af regelmæssig kontrol med dette, da tidligere medarbejdere fortsat havde adgang til it-systemet KMD-Nexus. Dette it-system indeholdt fortrolige og følsomme personoplysninger om et stort antal borgere på omsorgsområdet i kommunen. Endvidere drejede anmeldelserne sig om misbrug af loginoplysninger til en række Microsoft Office-tjenester, der var uvedkommende for en medarbejder i kommunen.

Til sidst undersøgte Datatilsynet om kommunen havde implementeret effektiv sikring af fjernadgangsforbindelser til it-systemet og Office-tjenesterne. Dette var ikke tilfældet, og Datatilsynet fandt, at der var en øget risiko forbundet hermed, da disse systemer og tjenester kan tilgås direkte fra internettet.

Datatilsynet indstillede til bøden i medfør af GDPR art. 83, stk. 2, hvor Datatilsynet lagde vægt på sagens grovhed. Kommunen havde i flere tilfælde og over en længere periode undladt at implementere grundlæggende sikkerhedsforanstaltninger, passende retningslinjer og procedurer til trods for, at kommunen blev gjort opmærksom herpå.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/nov/datatilsynet-anmelder-lyngby-taarbaek-kommune-til-politiet

God praksis for styring af datakvalitet

Det danske Finanstilsyn (»Finanstilsynet«) har den 8. oktober 2024 offentliggjort et notat vedrørende god praksis for kreditinstitutternes styring af datakvalitet. Notatet omhandler datakvalitet på alle risikoområder, og retter sig mod de kreditinstitutter, der skal efterleve kravene til styring af datakvalitet i § 8, stk. 11, § 19, stk. 1, nr. 5, samt bilag 7, nr. 9, i bekendtgørelse nr. 1103 af 30 juni 2022 om ledelse og styring af pengeinstitutter m.fl. (»ledelsesbekendtgørelsen for pengeinstitutter m.fl.«).

Notatet er udarbejdet på baggrund af en række inspektioner af datakvalitet i de største danske kreditinstitutter, som Finanstilsynet har gennemført i 2023 og 2024. Her fandt Finanstilsynet, at styringen af datakvalitet var påvirket af fejl, mangler og forsinkelser i kreditinstitutternes løbende dataindberetninger og dataleverancer. Herudover fandt Finanstilsynet, at der var mangel på systematik og ensartethed i kontrollen af data.

Det anbefales, at der udarbejdes metoder og retningslinjer for at følge god praksis inden for datakvalitet. Kreditinstitutterne kan her lade sig vejlede af ’Principles for effective risk data aggregation and risk reporting’, 2013, Bank for International Settlements (»BCBS 239«). Ydermere anbefales det af Finanstilsynet, at der etableres klare retningslinjer for roller og ansvar, fastlægges forretningsgange og metoder for styring af datakvalitet af især kritiske dataelementer samt udarbejdes et datakatalog for metadata.

Læs Finanstilsynets pressemeddelelse her: https://www.finanstilsynet.dk/nyheder-og-presse/nyheder-og-pressemeddelelser/2024/okt/god_praksis_styring_datakvalitet_081024

Læs Finanstilsynets notat om god praksis her: https://www.finanstilsynet.dk/Media/638639668063564514/God-praksis-notat%20om%20kreditinstitutters%20styring%20af%20datakvalitet%20(002).pdf

Et risikopræget 2025 for den finansielle sektor

Det danske Finanstilsyn (»Finanstilsynet«) har den 18. december 2024 udgivet sit halvårlige notat vedrørende risikobilledet i det finansielle system. Notatet indeholder (i) en redegørelse af en række makrofinansielle risici, (ii) indsatser Finanstilsynet agter at iværksætte i 2025 på baggrund heraf, samt (iii) tre risikoscenarier og de finansielle konsekvenser heraf.

Finanstilsynet har identificeret en række risici for den finansielle sektor. Det angår en række makrofinansielle forhold, herunder risici vedrørende inflationen og renteniveau, geopolitisk indvirkning på aktiekurser, trusler og stigende tilfælde af cyberangreb, samt et øget antal af IT-driftshændelser, der potentielt kan medføre angreb i forsyningskæden, hvilket kan lede til en bredere påvirkning af den finansielle sektor.

Finanstilsynet fører en risikobaseret tilsynsvirksomhed, hvor ovennævnte risici har dannet grundlag for Finanstilsynets indsats i 2025. For det første, vil Finanstilsynet påbegynde en indsats til at sikre en robust finansiel sektor. Dette indebærer et fokus på udlån på private og konjunkturfølsomme erhverv, undersøgelser af belåningsstandarder ved boliglån samt af udenlandske aktører på markedet for erhvervsejendomme. Endvidere indebærer det en overvågning af implementeringen og overholdelsen af en række regulatoriske forhold og udarbejdelse af vejledninger til den finansielle sektor. Herudover vil Finanstilsynet også påbegynde indsatser, der skal sikre en ordentlig finansiel sektor. Dette skal sikres gennem en undersøgelse af prissætning for pensionsselskaber, fokus på hvidvaskregulering og svindel. Til sidst vil Finanstilsynet også have fokus på bæredygtighedsrapportering.

Som nævnt har Finanstilsynet udarbejdet tre forskellige risikoscenarier med samfundsøkonomiske konsekvenser, der tager udgangspunkt i individuelle og systematiske risici. Dette er i) en hård recession, ii) en krise på de finansielle markeder, og iii) hackerangreb, der skaber markante driftsforstyrrelser.

Læs Finanstilsynets pressemeddelelse her: https://www.finanstilsynet.dk/nyheder-og-presse/nyheder-og-pressemeddelelser/2024/dec/risikobillede_h2_181224

Læs Finanstilsynets notat om risikobilledet her: https://www.finanstilsynet.dk/Media/638701032455799341/Hjemmesidenotat_E24.pdf