Kritik af PFA Pension for manglende overholdelse af behandlingssikkerhed efter anmeldelse af 66 brud på persondatasikkerheden

Datatilsynet startede en sag mod PFA Pension efter at have modtaget 66 anmeldelser om brud på persondatasikkerheden. Disse brud involverede primært utilsigtet videregivelse af personoplysninger via "Mit PFA", e-Boks, brevpost og lignende. PFA Pension anførte, at disse brud udgjorde en lille del af den samlede kommunikation med kunderne (0,3 promille), men erkendte, at antallet var for højt.

PFA Pension oplyste, at de havde indført ekstra kontrolforanstaltninger, herunder krav om aktiv kontrol af modtageroplysninger før afsendelse via "Mit PFA", integration af modulbreve for at sikre korrekt adressering, og indskærpelse af "makker kontrol" ved besvarelse af indsigtsanmodninger. Derudover blev det eksisterende krav om automatisk kuvertering fremhævet, ligesom der blev gennemført undervisning af medarbejderne i databeskyttelsesregler.

Datatilsynet vurderede, at PFA Pensions behandling af personoplysninger ikke var i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, idet antallet af brud var for højt, og at yderligere foranstaltninger kunne implementeres for at forbedre sikkerhedsniveauet.

Afgørelse

Datatilsynet udtalte kritik af, at PFA Pensions behandling af personoplysninger ikke var i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1.

Datatilsynet lagde vægt på:

• Det høje antal anmeldte brud på persondatasikkerheden (66 tilfælde).
• PFA Pensions egen vurdering af, at antallet af brud var for højt.
• Muligheden for at indføre yderligere tekniske og organisatoriske foranstaltninger for at forbedre sikkerhedsniveauet.

På trods af kritikken noterede Datatilsynet sig, at PFA Pension løbende monitorerer sikkerhedsniveauet og allerede havde taget skridt til at implementere yderligere sikkerhedsforanstaltninger.