I november måned udførte Datatilsynet 15 tilsyn hos forskellige organisationer som f.eks. Ankestyrelsen og DJØF. Det kan umiddelbart virke ligegyldigt for dig og din organisation, men vi kan lære af de 15 tilsyn. De viser f.eks., at undervisning af medarbejdere og fokus på dokumentation er vigtigt. Tilsynene kan fortælle os, hvordan vi undgår at ende i saksen selv, og hvad vi skal fokusere på i vores daglige GDPR-arbejde. Tilsynene viser, at undervisning af medarbejdere og fokus på dokumentation er vigtig. Her er, hvad vi kan lære af de 15 tilsyn.
De 15 tilsyn fortæller, hvad der kræves af organisationer
Datatilsynet har i løbet af efteråret besøgt 15 offentlige og private organisationer i en tilsynsrunde. Datatilsynet var bl.a. et smut forbi fem kommuner, to universiteter, to fagforeninger mm.
Datatilsynet havde fokus på, hvordan organisationer håndterer sikkerhedsbrud.
Afgørelserne fra de 15 tilsyn viser, at dette mere konkret handler om, hvorvidt der er nok viden blandt medarbejdere i organisationerne og om der bliver ført en acceptabel dokumentation af sikkerhedshændelser- og brud. Og om dette fører til, at man får anmeldt alle relevante sikkerhedsbrud.
Sådan forløb de 15 tilsyn sig ud fra Datatilsynets fokus:
I samtlige afgørelser kommenterer Datatilsynet på undervisningen af medarbejdere, og i mange afgørelser kommer de med anbefalinger til forbedring af dokumentationen af sikkerhedshændelser. Det er derfor tydeligt, at disse to områder er vigtige, hvis man vil være GDPR-compliant.
Datatilsynet bekræftede efter tilsynene, som det også fremgår i tabellen over, at samtlige organisationer havde haft fokus på GDPR-opgaver. Alle organisationer var i gang med at opbygge rutiner og processer om, hvornår og hvordan man skal opfange og indberette sikkerhedsbrud.
I denne blogpost, vil jeg gå i dybden med, hvordan Datatilsynets fokus mere præcist kom til udtryk i afgørelserne, og hvad vi kan lære af dette. For hver af de tre fokuspunkter, kan vi lære lidt om, hvad man som minimum skal have styr på for at Datatilsynet er tilfredse.
Forhåbentligt kan det hjælpe jer med at ”bestå” et tilsyn hos jeres organisation.
Da blogpostet er en smule langt, kommer her en lille oversigt.
Even til at foretage relevante anmeldelser
Vi starter med de to gange, der blev udtalt kritik.
Datatilsynet udtalte kritik i to af de 15 sager. I begge tilfælde var der tale om anmeldelsespligtige sikkerhedsbrud, hvor organisationen kun havde betegnet situationen som en sikkerhedshændelse og derfor ikke indberettet dem. Vurderingen, af om der var tale om behandling af oplysninger om fysiske personer, var ifølge Datatilsynet ikke foretaget korrekt.
I det første tilfælde hos Aalborg universitet var der tale om stjålne devices. I disse situationer havde Aalborg Universitet ikke vurderet det som et brud på persondatasikkerheden. Datatilsynet vurderede derimod, at det var uklart, hvorvidt der kunne tilgås persondata på disse devices, og at disse situationer derfor burde være blevet håndteret som potentielle brud på persondatasikkerheden. Derfor modtog Aalborg Universitet en kritik.
I det andet tilfælde hos Køge kommune var der tale om et fællesdrev, hvortil der var fri adgang. På drevet lå der patientoplysninger fra en tandlæge, men da stien ind til disse var lang og svær at gætte, havde Køge Kommune vurderet det som usandsynligt, at de var blevet tilgået af udefrakommende. De vurderede det altså som en ren sikkerhedshændelse og anmeldte det ikke til Datatilsynet. Denne vurdering var ikke acceptabel ifølge Datatilsynet. Det skyldes, at uvedkommende godt kan have tilgået dataen, og derfor burde Køge Kommune have anmeldt hændelsen. Køge Kommune kan ikke garantere, at data ikke er blevet set af uvedkommende.
Det er tydeligt, at Datatilsynet forventer, at man som organisation kan vurdere, når data kan henføres til en person. De slår ned på, at man ikke indberetter sikkerhedsbrud, der inkluderer data om en eller flere personer. Det er altså vigtigt, at man har styr på, hvornår man håndterer persondata eller ej. Hvis man er tvivl om en sikkerhedshændelse bør anmeldes, er det altid sikrere at anmelde det end at lade være. Vi har også lavet 4 huskeregler til at håndtere sikkerhedsbrud, som du kan læse her.
De to kritikker viser dog også, at hvis man blot har lavet en enkel fejlvurdering, slipper man stadig med en kritik. Datatilsynet har altså forståelse for, at organisationer stadig er i en læringsfase, når det kommer til at vurdere, dokumentere og anmelde sikkerhedshændelser.
Afgørelserne viser, at det er vigtigt, at man får etableret processer, der gør en i stand til at opdage sikkerhedshændelser og vurdere disse korrekt. Det kræver medarbejdere, der forstår, hvornår der er tale om situationer, de skal være opmærksomme på. Det kræver også processer, der sørger for, at disse situationer bliver dokumenteret, vurderet og indberettet hvis nødvendigt.
Undervisning af medarbejdere
Datatilsynets har i afgørelserne fokus på viden blandt medarbejdere. Det er dog tydeligt i afgørelserne, at ikke alle i en organisation skal være persondata-eksperter. Ifølge Datatilsynet, handler det om at opbygge processer og rutiner, hvor potentielle sikkerhedsbrud bliver rapporteret videre til relevante medarbejdere, der kan håndtere hændelserne korrekt.
Ens GDPR-arbejde skal derfor ikke handle om, at alle skal kunne vurdere enhver situation korrekt. Alle skal dog vide, hvornår der er tale om persondata, og hvornår de skal være opmærksomme på GDPR. I disse situationer, skal de vide, hvem de skal gå til, hvis de er i tvivl om noget. Som Datatilsynet nævner, så skal viden udbredes til de relevante personer i ens organisation. Her skal der differentieres i viden alt afhængig af, hvem i organisationen, der er tale om. Der skal derfor være nok viden hos medarbejdere til, at sikkerhedshændelser bliver opdaget, og at der er processer om, hvad der skal gøres, når sikkerhedshændelser opstår.
Hvis man dykker ned i de 15 tilsyn, kan man se, at Datatilsynet har efterspurgt en redegørelse for, hvordan organisationerne underviser deres medarbejdere. Det er tydeligt, at undervisning af medarbejdere er et afgørende tiltag for at kunne efterleve persondataforordningen. Datatilsynet skriver i en afgørelse:
“Heraf kan bl.a. udledes krav om, at den dataansvarlige skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af brud på persondatasikkerheden, at visse relevante medarbejdere kan identificere og vurdere brud på persondatasikkerheden, herudover er det en nødvendighed for at organisationen som helhed i øvrigt er i stand til at understøtte forpligtelsen til at foretage indberetninger.”
Som nævnt, så kræver Datatilsynet ikke, at alle er eksperter, men at alle i et nødvendigt omfang er bekendt med organisationens interne procedurer. Disse procedurer skal nemlig sikre, at alle ved, hvem de skal gå til, når der opstår tvivlsspørgsmål. Det sikrer nemlig, at ens organisation kan dokumentere hændelser og få indberettet sikkerhedsbrud til Datatilsynet.
Det kan være svært at vurdere, hvornår man har fuldført tilstrækkelig undervisning af ens medarbejdere. Men hvis man kigger på Datatilsynets afgørelse af f.eks. Aalborg kommune, så får man indikationer af, hvad der kræves. Her har Datatilsynet ikke været i stand til at se selve læringsindholdet eller undersøge, hvorvidt alle medarbejdere har gennemført undervisningen. De har til gengæld kunne se, at Aalborg kommune har udarbejdet vejledninger og gennemført en række uddannelsesaktiviteter om databeskyttelse heriblandt e-læring. Denne dokumentation af undervisning har Datatilsynet set som værende tilstrækkelig. Man kan altså nå langt, hvis man kan påvise vejledninger og kontinuerlig træning. Det betyder også, at det her og nu ikke er nødvendigt at have udførlige rapporter om hver enkelt medarbejders deltagelse i denne undervisning.
Dokumentation af sikkerhedshændelser
Udover Datatilsynets fokus på medarbejdertræning, så fokuserede Datatilsynet også på dokumentationen af sikkerhedshændelser. Datatilsynet efterspurgte dokumentation for alle sikkerhedshændelser, herunder alle registrerede brud på persondatasikkerheden, som var anmeldt til Datatilsynet. I opsummeringen af de forskellige afgørelser, kan man læse, at Datatilsynet netop fokuserede på, om organisationerne har været i stand til at opfange sikkerhedshændelser og registrere og dokumentere dem korrekt.
Ifølge databeskyttelsesforordningens artikel 33, stk. 5, skal den dataansvarlige dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden (Datatilsynet) i stand til at kontrollere, at bestemmelsen er overholdt..” (fra afgørelse af tilsyn)
Hvor registreringen af hændelser kan klares af få personer i en organisation, så kræver det viden hos mange at kunne opfange sikkerhedshændelser. Det er her, hvor viden hos medarbejdere kommer ind, da de skal kunne spotte, hvornår der muligvis kan være gået noget galt og herefter spørge de ansvarlige.
I dokumentationen af sikkerhedshændelser ligger Datatilsynet vægt på, at man dokumenterer følgende ting:
-
Dato og tidspunkt for bruddet
-
Hvad skete der i forbindelse med bruddet?
-
Hvad er årsagen til bruddet?
-
Hvilke (typer) personoplysninger er omfattet af bruddet?
-
Hvilke konsekvenser har bruddet for de berørte personer?
-
Hvilke afhjælpende foranstaltninger er truffet?
-
Hvorvidt – og i givet fald hvordan – der er sket anmeldelse til Datatilsynet? Hvorfor/Hvorfor ikke
Men hvordan dokumentationen præcis skal fremstå, siger persondataforordningen intet om, og den datansvarlige har derfor frihed til at gøre dette, som man finder passende. Det vigtigste er, at man får alle hændelser registreret og beskrevet med de faktiske omstændigheder.
Hvis man sørger for at dokumentere ovenstående punkter ved alle sikkerhedshændelser, er man nået meget langt. Det er tydeligt, at de ovenstående punkter stadig blot er en anbefaling, og at det stadig er muligt at klare sig gennem et tilsyn uden at have dokumenteret alt perfekt. Hvis man f.eks. kigger på tilsynet hos Region Syddanmark, så var dokumentationen tilsendt i 45 separate dokumenter til Datatilsynet. Et dokument for hver sikkerhedshændelse. Denne dokumentation blev anskuet som værende tilstrækkelig for Datatilsynet, da regionen har beskrevet omstændighederne ved de forskellige sikkerhedsbrud. De anbefaler dog en mere struktureret tilgang, hvor man lettere kan danne overblik over hændelser, men dette er altså ikke et krav.
Hvis man kigger på tilsynet hos Esbjerg kommune var dokumentationen mere struktureret i 2 dokumenter; et dokument med anmeldte sikkerhedsbrud og et dokument af ikke-anmeldte sikkerhedshændelser. På trods af den mere strukturerede tilgang med blot to dokumenter, så fandt Datatilsynet dokumenterne ufuldstændige. Esbjerg kommune manglede fyldestgørende beskrivelser af de faktiske omstændigheder, virkninger og konsekvenser. Det er tydeligt, at det ikke er nok at notere sikkerhedshændelser, de skal beskrives. Når det er sagt, er der igen tale om en anbefaling om mere detaljerede beskrivelser, og Esbjerg kommune har efterlevet persondataforordningen tilstrækkeligt.
I tilsynet hos Bornholms Regionskommune var der en decideret fejl. Her havde Bornholms Regionskommune vurderet en situation som en ”ren informationssikkerhedshændelse”, hvilket vil sige, at den ikke behøver at blive indberettet til Datatilsynet. Datatilsynet har dog vurderet den selvsamme situation som et brud på persondatasikkerheden. Men da Bornholms Regionskommune på trods af deres vurdering alligevel havde indberettet hændelsen til Datatilsynet, har de stadig efterlevet GDPR-kravene korrekt. Det viser, at hvis et tilfælde er svært at vurdere og måske befinder sig i en gråzone, så er det bedst at indberette hændelsen – better safe than sorry.
Det bliver i ovenstående eksempler tydeligt, at Datatilsynet ikke kræver perfektion i dokumentationen. Der er plads til at lave ufuldstændig dokumentation og fejl, så længe at man anmelder alle brud på persondatasikkerheden til Datatilsynet. De kan tilgive mangler i dokumentationen, men ikke at man skjuler eller overser sikkerhedsbrud – det vigtige er altså i første omgang, at I får dokumenteret hændelser og indberettet sikkerhedsbrud. Så kan man løbende optimere selve dokumentationen.
Hvis man blot skal have tre takeaways fra Datatilsynets 15 tilsyn, så er det, at man skal:
-
Lave klare processer om persondatasikkerhed og undervise medarbejdere i disse:
– Dokumentere sikkerhedshændelser og sikkerhedsbrud grundigt
– Anmelde hændelser til Datatilsynet, hvis man er i tvivl
-
Datatilsynet kræver, at der er processer og vejledninger i stand, der gør det muligt at opfange sikkerhedshændelser i ens organisation. Det er tydeligt, at Datatilsynet mener, at undervisning er nødvendigt, før man kan argumentere for, at man har acceptable processer og vejledninger.
-
Derudover kræver Datatilsynet, at man dokumenterer de opfangede hændelser struktureret og grundigt, så man kan belyse, hvilket grundlag man har haft for at kategorisere en situation som sikkerhedshændelse eller sikkerhedsbrud.
Sidst men ikke mindst forventer Datatilsynet, at man kan lave denne kategorisering korrekt, således at man altid får anmeldt sikkerhedsbrud. Hvis man skulle stå i en situation, hvor man er i tvivl om, hvorvidt en sikkerhedshændelse indebærer persondata eller ej, er det altså altid sikrest at anmelde hændelsen for en sikkerheds skyld. Både for sig selv, men også de personer, der muligvis har persondata involveret.
