Datatilsynet indberetter databrud til sig selv

Jakob Dedenroth Bernhoft.
Jakob Dedenroth Bernhoft.

Datatilsynets indrapportering af et databrud i Datatilsynet til sig selv er en sag, man bliver rundtosset af. Og den viser, at det bør være en anden myndighed, der tager Datatilsynet under behandling. 

Den 20. august 2020 meldte Datatilsynet ud, at de havde haft et datalæk. Sagen er blevet indberettet. Til hvem? Til dem selv! Det giver naturligvis ingen mening at en myndighed skal kontrollere sig selv, men det har de gjort i dette tilfælde. De har optrådt som begge parter i sagen. Den kontrollerede og den som kontrollerer.

Ydermere har de påpeget, at de har indberettet sagen for sent. Det vil sige, at de har indberettet en sag vedrørende dem selv til dem selv, men for sent. Det giver heller ikke mening.

Sagen kort
Hos Datatilsynet er et ukendt antal dokumenter i papirform ikke makuleret, som de ellers skulle, men sendt til genbrug. Dokumenterne kan ifølge Datatilsynet have indeholdt fortrolige og følsomme oplysninger om borgere, medarbejdere m.m.

Dokumenterne blev smidt ud i en beholder til almindeligt papiraffald, selvom de skulle have været makuleret. Fejlen blev herefter rettet, så beholderen nu blev mærket som makuleringsspand. Imidlertid blev indholdet fortsat ikke makuleret, men blev forsat sendt til genanvendelse. Altså 2 x fejl.

Menneskelige risikofaktorer
Sagen sætter fokus på den største risikofaktor, når det kommer til beskyttelse af personoplysninger, nemlig den menneskelige.

Som dataansvarlig har man pligt til at sikre ”passende tekniske og organisatoriske foranstaltninger” så man er i stand til at påvise, at behandling er i overensstemmelse med persondataforordningen. Det er ikke nok at have sletterutiner – som der tilsyneladende har været i sagen – men man skal også sikre sig, at de rent faktisk også fungerer i praksis. Det har ikke været tilfældet her.

For de fleste mindre virksomheder giver implementeringen af GDPR ikke anledning til de store juridiske spørgsmål for de rådgivere, som er med til at implementere reglerne, ud over det ofte er en ordentlig omgang. Den største udfordring er i praksis ofte at få medarbejdernes tilstrækkelige opmærksomhed i forhold til at følge reglerne. Også kaldet ”awareness”.

Hvem kontrollerer Datatilsynet?
Men databruddet i Datatilsynet rejser også et helt principielt spørgsmål. Hvem kontrollerer, at Datatilsynet overholder GDPR? En myndighed, som potentielt kan ligge inde med meget store mængder af personoplysninger i forbindelse med tilsyns- og klagesager. Herudover selvfølgelig også oplysninger om personale.

Det fremgår af sagen, at det datalæk, som fandt sted, var blevet ”indberettet gennem den samme løsning, som alle andre dataansvarlige bruger, når de konstaterer brud på persondatasikkerheden”. Det sætter problemstillingen på spidsen for hvem behandler indberetningen? Det gør Datatilsynet selv. Det giver naturligvis ingen mening.

Samtidig fremgår det at sagen blev indberettet et døgn for sent, dvs. efter udløbet af 72 timer fristen. Hvordan kan Datatilsynet indberettet sin egen sag for sent til sig selv? Det giver heller ikke nogen mening.

Sanktion
Datatilsynet har været flittige med at kritisere behandlingen af persondata hos offentlige myndigheder og virksomheder og har været fremme med bødeblokken adskillige gange. Sagen rejser det helt åbenlyse spørgsmål, om man kunne forstille sig, at Datatilsynet indbringer sagen for domstolene, og dermed bliver både den indklagede og den, som indklager?

Det fremgår af sagen, at Datatilsynet ”har gennemgået alle procedurer for bortskaffelse af papiraffald og indskærpet retningslinjerne”, men tilsyneladende ikke foretager sig mere.

Datatilsynets databeskyttelsesrådgiver udtaler: "Det er dybt beklageligt. Vi stiller høje krav til både virksomheder og andre myndigheder om at passe godt på danskernes personoplysninger, og derfor er det meget uheldigt, at vi selv ikke har skilt os af med denne del af Datatilsynets papiraffald på en passende måde, siger Mia Staal Klintrup, som er databeskyttelsesrådgiver i Datatilsynet, og tilføjer:

"Intet tyder på, at papiraffaldet er kommet i de forkerte hænder, og det er vi lettede over, men det ændrer ikke på, at sådan en fejl ikke må ske. Derfor har vi nu gennemgået vores retningslinjer og indskærpet procedurerne, ligesom vi selvfølgelig har sørget for, at papiraffaldet fremover bliver håndteret korrekt."

Er det kritik, som Datatilsynet udtaler som tilsynsmyndighed, eller som en myndighed, der er blevet kontrolleret og lover bod og bedring? Det er til at blive rundtosset af.

Mit ærinde her er ikke at vurdere hvilken sanktion Datatilsynet eventuelt skulle have, men blot pege på det åbenlyse i, at det naturligvis ikke giver mening, at tilsynet skal sanktionere en overtrædelse af GDPR, som de selv har fortaget.

Hvad kunne man gøre?
Måske kunne en løsning være, at klager over Datatilsynet blev behandlet af Justitsministeriet, som er det ministerium, Datatilsynet hører under. Nogle kunne mene, at der ikke vil være nok ”arm length” i sådan model. Man kunne sikkert også forestille sig andre løsninger.

Der vil sikkert kræve lovændring, men uanset hvad, så er der et problem som bør løses.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle