Nyt fra Datatilsynet

03-06-2024

Til afslutning af årets GDPR awareness-kampagne ser vi på nogle væsentlige nyheder fra Datatilsynet

Nedenfor er udvalgte nogle afgørelser fra Datatilsynet, der er truffet siden sidste års GDPR awareness-kampagne, og som har relevans for os i KFST.

Kritik for ikke at afklare et muligt brud på persondatasikkerheden i tide

En gruppe medarbejdere i Storstrøm Fængsel oprettede en lukket Messenger-gruppe, hvor de kommunikerede arbejdsrelateret om indsatte i fængslet og ansatte hos Kriminalforsorgen. Trods en medarbejders gentagne henvendelser om, at der som følge af gruppen muligvis var sket et brud på persondatasikkerheden, undersøgte Kriminalforsorgen det først seks måneder efter den første henvendelse. Da den dataansvarlige i henhold til GDPR skal anmelde et brud senest 72 timer efter, at den er blevet bekendt med bruddet, udløste det kritik af Kriminalforsorgen, at det mulige brud ikke blev undersøgt og dermed heller ikke anmeldt rettidigt.

Forpligtelsen til at anmelde et brud indenfor senest 72 timer gælder også for KFST. I styrelsen er det den persondataansvarlige, der vurderer og anmelder brud, så hvis du er det mindste i tvivl om, hvorvidt du har opdaget et brud, eller har konstateret et brud, er det vigtigt, at du straks skriver til styringogit@kfst.dk med cc til Torben B. Olesen tool@kfst.dk Du kan læse mere om brud og finde styrelsens retningslinjer herfor på Intra.

Alvorlig kritik for behandling af personoplysninger om flere personer end nødvendigt

Digitaliseringsstyrelsen har fået alvorlig kritik for at opbevare og behandle personoplysninger om alle borgere, der har gyldigt dansk kørekort (knap 4 millioner) for at kunne tilbyde ca. 1,7 millioner borgere det elektroniske kørekort. Hermed behandlede Digitaliseringsstyrelsen personoplysninger om 2 millioner borgere mere end nødvendigt, hvilket er i strid med princippet om dataminimering.

Dataminimeringsprincippet er et af GDPR’s grundlæggende principper og skal altid overholdes uanset hvilken behandling der konkret foretages. Dermed skal vi i KFST ikke indsamle flere personoplysninger end nødvendigt samtidig med, at vi skal slette oplysninger, når der ikke længere er arbejdsmæssigt behov for dem, eller der ikke er pligt til at opbevare dem. Selvom sletning er en del af fokus for awareness-kampagnen, skal du huske at få slettet løbende og inden for de slettefrister, styrelsen har fastsat. Slettefristerne kan altid findes på Intra.

Alvorlig kritik for manglende sikkerhedsforanstaltninger

Datatilsynet har udtalt kritik af Region Sjælland for manglende behandlingssikkerhed ved at have givet alle autoriserede brugere (i marts 2022 16.322 brugere) adgang til patientlister med personoplysninger, herunder navn og CPR-nr., på alle regionens hospitalsafdelinger. Dermed havde en bruger adgang til patientlister vedrørende patienter uden for den afdeling, vedkommende var ansat på – dvs. uden at have arbejdsbetinget behov for adgang. Samtidig kunne loggen i systemerne ikke vise, hvilke personoplysninger en bruger tilgik, hvorved eventuelt misbrug af brugeradgange ikke kunne dokumenteres eller følges op på.

Der kan i nogle tilfælde også være brug for adgangsstyring i KFST. Det kan både være nødvendigt mellem centre, så kun det relevante center kan tilgå en sag (fx en kartelsag), eller mellem medarbejdere/teams i de enkelte centre, fordi kun enkelte medarbejdere skal have adgang til en sag eller et dokument. Det er derfor vigtigt, at man ved oprettelsen af en sag eller dokument i Public 360 overvejer, om sagen eller dokumentet skal gøres fortrolig. I centrene skal man også være opmærksom på, hvem der er tildelt rettigheder til at tilgå en funktionspostkasse, og det bør løbende vurderes, om alle med adgang fortsat har behov herfor.

Bødeindstilling på ikke under 1,5 mio. for manglende tilsyn med databehandlere

Datatilsynet har indstillet privathospitalet Capio A/S til en bøde på ikke under 1,5 millioner kr. for overtrædelse af princippet om ansvarlighed ved ikke at have ført tilsyn med sine databehandlere. Databehandlerne havde været anvendt i flere år og behandlede følsomme og andre beskyttelsesværdige personoplysninger om mange registrerede. Imidlertid begyndte Capio A/S først at føre tilsyn med databehandlerne, da Datatilsynet indledte sin undersøgelse. Capio A/S kunne derfor ikke sikre og påvise, at personoplysningerne blev behandlet til lovlige og rimelige formål og med tilstrækkelig sikkerhed.

I KFST anvender vi en række databehandlere i form af bl.a. leverandører af it-systemer og software til at behandle personoplysninger. Inden en databehandler tages i brug, vurderes det, om databehandleren lever op til styrelsens it-sikkerheds- og databeskyttelsesmæssige krav gennem en risikovurdering, og der indgås om nødvendigt en databehandleraftale. Derefter føres der løbende tilsyn med databehandleren. ADM bistår med at udarbejde risikovurdering samt databehandleraftale, hvorfor det er vigtigt, at du inddrager ADM, hvis du påtænker at købe et nyt system eller taler med leverandører om, at de skal udføre noget arbejde for KFST. Du kan enten komme ned på 1. sal eller skrive til styringogit@kfst.dk.