Et år med GDPR: Kommunen har anmeldt 26 brud på datasikkerheden

E-mails som grundet en menneskelig fejl sendes til en forkert modtager eller fortrolige personoplysninger, der sendes som almindelig mail frem for digital post, er blandt de fejl, som skal indberrettes til Datatilsynet. Arkivfoto: Morten Pape

Et år med GDPR: Kommunen har anmeldt 26 brud på datasikkerheden

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

26 gange i løbet af persondataforordningens første år har Fredericia Kommune anmeldt en overtrædelse til Datatilsynet.

Fredericia: Hver dag håndterer både offentlige instanser og private virksomheder tusindvis af personlige oplysninger, og med databeskyttelsesforordningen (GDPR), der trådte i kraft 25. maj 2018, blev det en pligt at indberette eventuelle brud til Datatilsynet.

I Fredericia Kommune har man i løbet af det første år med persondataforordningen registreret 26 brud.

På landsplan skyldes en stor mængde fejl ifølge Datatilsynet, at fysiske breve grundet fraflytning eller fejlagtig postomdeling ikke havner ved rette person. Det kan også være e-mails, som grundet en menneskelig fejl sendes til en forkert modtager eller fortrolige personoplysninger, der sendes som almindelig mail frem for digital post.

Hos Fredericia Kommune noterer databeskyttelsesrådgiver Mai-Brit Berg sig, at antallet og typen af anmeldelser ligner det, Datatilsynet oplever i andre kommuner.

- Hovedparten af de brud, vi har, er med enkeltpersoner, og det er menneskelige fejl. En indberetning vil være, når vi vurderer, at der er en risiko for den registrerede. Hvis vi vurderer, at personoplysningerne kan være blevet misbrugt eller komme ud i offentligheden eller andet, hvor vi ikke kan stille sikkerhed for, at vi har håndteret dem, som vi skal. Dem, vi har flest af, er, hvor man ved en fejl kommer til at sende en mail, som ikke er krypteret, eller kommer til at sende en mail eller digital post til en forkert person, siger Mai-Brit Berg.

Det, jeg oplever, er, at man som medarbejder ikke er nervøs for at anmelde et brud. Man spørger, og hvis der er grund til, at det skal anmeldes til mig og videre til Datatilsynet, oplever jeg ikke, at de er bekymrede. Det, synes jeg, er gode tegn.
Mai-Brit Berg, databeskyttelsesrådgiver Fredericia Kommune
GDPR
Databeskyttelsesforordningen kaldes også GDPR (General Data Protection Regulation) eller blot persondataforordningen.

Loven trådte i kraft i Danmark 25. maj 2018 for at beskytte fysiske personers personoplysninger. Det gælder blandt andet retten til at vide, hvad private virksomheder og det offentlige bruger personlige oplysninger såsom navn, køn, alder, helbred og cpr-nummer til.

Hvis en organisation, virksomhed eller offentlig instans opdager et brud, hvor der er risiko for, at følsomme oplysninger er blevet tilgængelig for uvedkommende, har de pligt til at anmelde det til Datatilsynet.

Med lovens indførelse kan virksomheder blive pålagt bøder på op til 20 millioner euro

Fra 25. maj 2018 risikerer virksomheder således bøder på op til 150 millioner kroner eller fire procent af virksomhedens samlede omsætning. Danske kommuner kan også risikere at få bøder.

Gennemgår alle brud

Inden persondataforordningen trådte i kraft, registrerede Fredericia kommune ikke brud på persondatasikkerheden, og Mai-Brit Berg mener derfor, at det er svært at konkludere, hvorvidt antallet af indberetninger i løbet af det første år er få eller mange.

- Det, jeg oplever, er, at man som medarbejder ikke er nervøs for at anmelde et brud. Man spørger, og hvis der er grund til, at det skal anmeldes til mig og videre til Datatilsynet, oplever jeg ikke, at de er bekymrede. Det, synes jeg, er gode tegn.

Ved grovere overtrædelser af loven kan både private virksomheder og kommuner straffes med bøder, men Mai-Brit Berg oplyser, at ingen af kommunens hidtidige brud har kastet sanktioner af sig. Hun fortæller også, at der ikke er ændret procedure i forbindelse med indgivelsen af anmeldelser, og der fokuseres fortsat meget på at analysere de brud, der har været.

- Vi undersøger, om der er nogle tekniske eller organisatoriske ting, der skal til, for at vi kan nedbringe det her tal. En af de ting, vi har implementeret, er at vi i en almindelig mail ikke kan sende cpr-oplysninger. Det hindrer ikke alt, men det mindsker i hvert fald risikoen. Det vigtigste er at lære af de brud, vi har haft, siger Mai-Brit Berg.

Et år med GDPR: Kommunen har anmeldt 26 brud på datasikkerheden

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

Annonce
Annonce
Annonce