Vi er gået gennem Datatilsynets afgørelser i 2023. Præcis som vi gjorde sidste år. Målet er ikke at gå i dybden med de forskellige afgørelser, men præsentere overordnede læringer og vurdere forventning af, hvordan Datatilsynet lægger niveauet i år. Det kan hjælpe med at afstemme, hvad kravene er for at undgå bøder i Danmarks GDPR-landskab.
Årets afgørelser i tal
Datatilsynet har haft travlt i år og er kommet med 47 afgørelser i 2023. De har fordelt sig således:
-
47 afgørelser
-
18 gange fandt Datatilsynet ingen brud
-
12 gange blev der uddelt ”Kritik”
-
13 gange blev der uddelt ”Alvorlig kritik”
-
6 gange blev der lavet eller opretholdt påbud eller forbud
-
1 gang blev en organisation indstillet til bøde
Den kvikke læser har måske spottet, at de forskellige typer afgørelser ikke giver 47. Det skyldes, at der godt både kan blive givet en kritik samtidig med, at der bliver lavet et påbud eller forbud.
Datatilsynet har haft væsentligt færre afgørelser end i 2022, hvor de havde 82 afgørelser. Det kan formentlig delvist forklares med besparelser i Datatilsynet.
Præcis ligesom tidligere år, kaster Datatilsynet ikke om sig med bøder.
Det kan altså tyde på, at vi stadig er inde i en "indlæringsfase", hvor der bliver givet kritik for de ting, der i fremtiden skal give bøder.
Men hvad giver bøder og kritik?
Den ene bøde
I 2022 blev hele 8 organisationer indstillet til bøder, men i 2023 så vi kun 1 sag, hvor virksomheden blev indstillet til bøde.
Det er Texas Andreas Petersen A/S, der er blevet indstillet til en bøde på 200.000 kr.
Det gør de for at have videregivet informationer til Meta og Google gennem cookies.
I begrundelsen fortæller Datatilsynet, at Texas Andreas Petersen ikke havde retslig grundlag for at behandle personoplysningerne, samtidig med, at der var tale om en stor mængde data. Datatilsynet lagde også vægt på, at de længe har haft vejledninger til håndtering af hjemmesidebesøgende.
Mere præcise er Datatilsynet ikke, og det er derfor svært at kloge sig på, hvordan cookies-opsætningen var i denne sag, men man kan se det som en påmindelse om lige at tjekke ens opsætning igennem en gang til.
Det er ikke mange bøder, og vi er heller ikke oppe i bødestørrelser, som vi ser i de store globale sager.
Det bør altså være muligt at undgå bøder, så længe I har styr på de grundlæggende GDPR-processer.
Men, vi kan allerede se, at flere er blevet indstillet til bøder i 2024. Mere om det senere i indlægget.
Dette ledte til Kritik og Alvorlig Kritik
Der blev uddelt kritik og alvorlig kritik i 24 sager. Vi kan åbenlyst ikke dykke ned i dem alle her.
Jeg har forsøgt at undgå enkeltsagerne og kigger istedet på nogle af dem, der går igen.
Overskrifterne her er:
Vi tager dem en for en.
Ikke passende sikkerhed
I flere af sagerne vurderede Datatilsynet, at der ikke var implementeret passende sikkerhed.
En af sagerne omhandlede muligheden for URL-manipulation, der kunne give adgang til andres data.
I en anden sag, var der en fejl i MitID, så folk kunne få adgang til andres webbank.
I en tredje sag kunne brugere få adgang til persondata for andre kunder og folk i systemt ved at tilgå "Dev tools".
Der var altså tale om relativ store risici og store fejl.
Hvis I behandler meget persondata, skal systemerne selvfølgelig sikres, så uvedkommende ikke kan få adgang til persondata.
Videregivet oplysninger
Her giver titlen næsten sig selv. Disse sager var tilfælde, hvor der blev givet persondata videre til tredje parter, hvor dette ikke var tilladt.
Et eksempel er Rigspolitiet, der gav persondata videre til et forskningsprojekt. Det havde de ikke lov til, da sagen ikke var færdigbehandlet.
Et andet eksempel var en købmand, det videregav oplysninger om en tidligere medarbejders strafbare forhold til medarbejderens nye chef.
Et godt råd: Lad være med at videregive personoplysninger medmindre du er HELT sikker på, at du må.
Utilstrækkelig kontrol af bruderadgange
Den tredje type brud er "Utilstrækkelig kontrol af brugeradgange".
Her er der helt simpelt snakke om tilfælde, hvor for mange personer havde adgang til persondata i forskellige systemer.
Hvis der er snakke om persondata, som f.eks. kun IT-afdelingen har behov for, så bør andre afdelinger ikke have adgang.
Det gode råd her er at få tjekket, hvem der kan tilgå det persondata, som I opbevarer.
Er der nogle, der kan tilgå persondata, de ikke bør kunne? Få spærret deres adgang.
Manglende analyse og risikovurdering
I 6 tilfælde blev der giver Alvorlig kritik eller kritik for enten en for dårlig eller manglende konsekvens- og/eller risikoanalyse.
Kort sagt skal du lave en risikovurdering (du kan bruge vores gratis skabelon), hvis det viser sig, at der er en høj risiko i nogle tilfælde, så skal du lave en konsekvensanalyse.
I flere af tilfældende, hvor Datatilsynet gav kritik omhandlede det specifik Aula og forskellige kommuners brug af dette system, hvor de ikke havde taget højde for enten de væsentlige risici eller konsekvenser, som AULA kan have for de registrerede.
Men det gør sig ikke kun gældende med AULA. Du bør altid lave en risikovurdering, så I kan prioritere jeres arbejde. Hvis I har brugere, hvis data er i en risiko for ende i et sikkerhedsbrud, så skal der også laves en konsekvensanalyse.
Håndtering af brud på persondatasikkerheden
Den sidste kategori, som jeg vil udpege er selve håndteringen af sikkerhedsbrud. Den går igen hver år, og der er altid et par syndere til at ende i denne kategori.
- Mangel på dokumentation af brud
- For langsom reaktion på brud
Det er vigtigt at dokumentere de sikkerhedsbrud man har. Både så man på sigt kan få et overblik, men også for at kunne dokumentere det overfor Datatilsynet. Datatilsynet har en vejledning med alt man skal vide.
Derudover skal man reagere og kommunikere brud indenfor 72 timer til Datatilsynet. Her er der også hvert år nogle, der får kritik for at være for langsomme.
Men igen, disse type sager må hører ind under de grundlæggende GDPR-processer og være til at efterleve.
Der er andre sager, der kan have relevans
Det var en hurtig opsummering af Datatilsynets 82 afgørelser fra 2022. Der kan helt sikkert være afgørelser, der er relevante for jer, som jeg ikke er kommet ind på her. Jeg har valgt de typer af sager, der fremkom ofte og som har relevans for alle organisationer. Der var også sager, som jeg vurderede var så branchespecifikke, at jeg gik udenom dem.
2024 - flere bøder allerede på vej
Til sidst vil jeg blot nævne, at vi nu halvanden måned inde i 2024 allerede har set 5 virksomheder blive indstillet til bøde:
Det er allerede markant flere bøder end sidste år.
Her er overskrifterne:
- Manglende regler for sletning af kundeoplysninger til markedsføringsbrug
- For lavt sikkerhedsniveau
- Manglende tilsyn med databehandlere
Det Kongelige Teater havde ikke fastsat regler om, hvornår der skulle slettes kundeoplysninger til markedsføringsbrug på trods af, at de godt var klar over, at det skulle ske. Her blev også lagt vægt på mængden af data, og at det blev aktivt brugt.
Odsherred Kommune, Netcompany og Hvidovre kommune er alle blevet indstillet grundet for lavt sikkerhedsniveau.
I den ene sag var der tale om manglende kryptering på hardware, og da borgere ikke kan opte ud af at få håndteret personoplysninger er det et mindstekrav. I de to andre sager fik borgere og brugere adgang til for mange oplysninger grundet fejl i systemerne. Og grundet at der er snakke om oplysninger af følsom karakter, er de blevet indstillet til bøder.
Sidst, men ikke mindst er Capio indstillet for ikke at føre tilsyn med deres databehandlere. Dette er tilfældet gennem flere år, og da de som privathospital behandler følsomme oplysninger, så er det kritisk.
Ingen grund til panik på trods af flere bøder
Der er altså tale om sager, hvor der enten er tale om meget store mængder data, der ikke bare ligger, men også bliver brugt på trods af manglende behandlingsgrundlag, eller tale om følsomme oplysninger og kommunale sammenhænge.
Vi behøver altså ikke male fanden på væggen. Hvis I behandler følsomme oplysninger, så er det klart, at I skal være EKSTRA opmærksomme på jeres tilgang. Hvis ikke, så kommer man stadig langt med sund fornuft, gode processer og almen IT-sikkerhed.