Alvorlig kritik af Familieretshuset for manglende overholdelse af databeskyttelsesforordningen

Baggrund

Datatilsynet har gennemgået 158 anmeldelser om brud på persondatasikkerheden fra Familieretshuset for at identificere mønstre og forebygge lignende hændelser i fremtiden. Af disse anmeldelser vedrørte 130 utilsigtet videregivelse af personoplysninger.

Familieretshusets forklaringer

Familieretshuset har forklaret, at de organisatorisk bygger på det tidligere Statsforvaltningen og har overtaget eksisterende IT-systemer. De erkender, at databeskyttelse og informationssikkerhed historisk set ikke har været tilstrækkeligt prioriteret, hvilket har resulteret i en organisatorisk og teknisk gæld. Familieretshuset har iværksat en implementeringsplan for at forbedre databeskyttelsen og informationssikkerheden.

Datatilsynets undersøgelse

Datatilsynet har anmodet Familieretshuset om en udtalelse og oplysninger om:

• En opgørelse over brud på persondatasikkerheden.
• Risiko- og konsekvensanalyser vedrørende utilsigtet videregivelse af personoplysninger.
• Tekniske og organisatoriske foranstaltninger for at beskytte oplysninger om beskyttede navne og adresser.
• Foranstaltninger for at imødegå manuelle fejl.
• Omstændighederne omkring utilsigtede videregivelser i selvbetjeningsløsninger.
• Retningslinjer for anonymisering.

Utilstrækkelige foranstaltninger

Datatilsynet har konstateret, at Familieretshusets selvbetjeningsløsninger har anvendt fejlbehæftede CPR-kald, hvilket har ført til uberettiget videregivelse af personoplysninger. Familieretshuset var bekendt med problemet, men utilstrækkelige test og manglende retningslinjer har bidraget til situationen. Datatilsynet bemærker, at Familieretshuset ikke i tilstrækkelig grad har sikret medarbejdernes omhu ved behandlingen af personoplysninger, jf. Databeskyttelsesforordningen § 32.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Familieretshusets overtrædelser af databeskyttelsesforordningen.

Begrundelse

Datatilsynet finder, at Familieretshusets behandling af personoplysninger ikke er sket i overensstemmelse med:

• Databeskyttelsesforordningen § 32, stk. 1, da der ikke er truffet passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau.
• Databeskyttelsesforordningen § 28, stk. 3, da der ikke forelå en skriftlig databehandleraftale med databehandleren CBRAIN A/S, og at der til databehandleraftalen med Visma Consulting A/S ikke var udarbejdet en skriftlig databehandlerinstruks.

Datatilsynet anerkender, at Familieretshuset har iværksat tiltag for at rette op på manglerne, men finder alligevel grundlag for at udtale alvorlig kritik på baggrund af sagens alvor og varighed.