I årets første kvartal har Datatilsynet oplevet en generel stigning i antallet af anmeldelser for brud på persondatasikkerheden, dog fortæller Datatilsynet at typen af brud og antallet af berørte følger trenden fra 2018.
Da persondataforordningen trådte i kraft d. 25. maj 2018, blev det en forpligtelse for den dataansvarlige part at underrette Datatilsynet om ethvert brud på persondatasikkerheden der udgør en ikke ubetydelige risiko for den eller de registrerede– og nu ligger Datatilsynets rapport for antallet af underretninger fra første kvartal 2019 klar.
Vi kan i rapporten se, at antallet af underretninger er stigende men at typer af brud der sker og det antal berørte registrerede, i store træk matcher tallene fra 2018. I perioden fra fra 1. januar til 31. december 2018 modtog Datatilsynet 1.521 anmeldelser om brud på persondatasikkerheden, dog indeholder dette ikke grænseoverskridende brud – som er blevet indberettet igennem Det Europæiske Databeskyttelsesråds samarbejdsportal.
Hvor kommer stigningen fra?
Den generelle stigning ses på antallet af anmeldelser pr. måned, som gennemsnitligt er gået fra 397 til 507 i første kvartal 2019, sammenlignet med første periode. Fordelingen af anmeldelser er således at 38% er fra private dataansvarlige og 62% fra offentlige dataansvarlige.
Datatilsynet fortæller at stigning i anmeldelser generelt er højere for den offentlige sektor end den private. Samtidig er det stadig gældende at anmeldelserne, for både de private og offentlige, kommer fra de dataansvarlige der har meget udadvendt kontakt med de registrerede. Derfor drejer mange anmeldelser sig om forhold hvor oplysninger om en eller flere registrerede er sendt på en sikker måde f.eks. gennem e-boks, krypteret eller på lukket kundeportal – men hvor modtageren ikke har været korrekt.
Herunder kan ses fordelingen på områder indenfor den private og offentlige sektor.
Helt overordnet er billedet det samme i seneste kvartal, som i perioden 25. maj til 31. december 2018, dog med stigende antal anmeldelser – Datatilsynet oplyser at 2/3-dele af disse omhandler oplysninger der er sendt til den ”forkerte” modtager og at disse ligeledes oftest er enkeltstående fejl, der beror på menneskelige fejl i afsendelsesøjeblikket.
Du kan læse Datatilsynets rapport fra første kvartal her.
Sådan behandler Datatilsynet indkommende anmeldelser
Datatilsynet er af den opfattelse, at brud på persondatasikkerheden, der udsætter fysiske personers rettigheder for risiko – generelt vil have karakter af forhold, der som minimum vil give anledning til kritik fra tilsynet.
Ved et brud på datasikkerheden, der er fremstår som afgrænset og enkeltstående hændelser med en ringe risiko for de registrerede – og hvor den dataansvarliges foranstaltninger i forbindelse med bruddet vurderes som umiddelbare tilstrækkelige, i forhold til beskyttelsen af de registreredes rettigheder, vil Datatilsynet normalt afslutte sagen uden at udtale en egentlig kritik. Dog hvis der kommer nye oplysninger i sagen eller der modtages nye anmeldelser, kan Datatilsynet genoptage sagen.
Læs: Taxaselskab politianmeldt for brud på GDPR
Datatilsynet har indtil nu afsluttet 1.555 sager, hvor der er sendt et brev til de dataansvarlige – og har allerede indstillet den første virksomhed til et bødeforlæg i millionklassen.
Kilde: Datatilsynet