Datatilsynet har afsluttet 16 skriftlige tilsyn med store kommuner og banker om håndteringen af brud på persondatasikkerheden. Overordnet blev GDPR-krav til anmeldelse, dokumentation og behandlingssikkerhed vurderet efterlevet, men to kommuner modtog kritik for mangelfuld registrering og dokumentation af brud.
Tilsynet opdelte enhederne i to grupper: dem med flest og dem med færrest anmeldte brud. I førstnævnte gruppe blev der fokuseret på forebyggende foranstaltninger mod uautoriseret videregivelse ved fremsendelse af oplysninger, mens gruppen med færrest brud blev vurderet på processer for rettidig anmeldelse og systematisk registrering.
Behandlingssikkerhed og forebyggelse
Efter GDPR art. 32 skal den dataansvarlige indføre passende tekniske og organisatoriske foranstaltninger. Datatilsynet fandt, at de undersøgte organisationer havde etableret procedurer, uddannelsesaktiviteter og systemkontroller, som nedbringer risikoen for utilsigtet videregivelse, herunder i sager med navne- og adressebeskyttelse og ved behandling af økonomiske oplysninger.
Erfaringer fra tidligere brud blev i vidt omfang omsat til forbedrede arbejdsgange og supplerende kontroller. Fokus på medarbejdernes opmærksomhed og korrekt anvendelse af it-systemer blev vurderet som centralt for at reducere hændelser og styrke den samlede robusthed.
Følgende elementer blev fremhævet som særligt vigtige:
- Løbende uddannelse og awareness i korrekt håndtering af personoplysninger.
- Opdaterede forretningsgange og kontroller på baggrund af tidligere hændelser.
- Systemstøtte mod fejl i adressering, vedhæftning og transmission.
Anmeldelse og dokumentation
Efter GDPR art. 33 skal brud som udgangspunkt anmeldes til Datatilsynet inden 72 timer. Effektiv efterlevelse forudsætter klare procedurer, tydelige ansvarsplaceringer og et incident-flow, der sikrer, at brud opdages, vurderes, dokumenteres og om nødvendigt anmeldes rettidigt. Begrundelser for ikke at anmelde skal journalføres, og brudslister bør anvendes aktivt i risikostyring.
Dokumentationen bør omfatte faktiske omstændigheder, virkninger og afhjælpende tiltag, så myndigheden kan kontrollere efterlevelsen. Samtidig giver registrene ledelsen overblik over mønstre i hændelser og et bedre grundlag for at prioritere nye eller supplerende foranstaltninger.
Kritik og opfølgning
Roskilde Kommune modtog alvorlig kritik for ikke at kunne dokumentere antallet af brud i en længere periode samt for usikker klassifikation af hændelser, mens Frederikshavn Kommune blev kritiseret for manglende opgørelse af brud i et år. Tilsynet bemærkede desuden, at det ikke vurderede det fulde indhold af uddannelsesmateriale eller gennemførelse hos alle medarbejdere.
Se udvalgte afgørelser hos Datatilsynet: Roskilde Kommune. Frederikshavn Kommune. Supplerende vejledning: Vejledning om databrud. Behandlingssikkerhed og design. EDPB 1/2021. EDPB 9/2022.
