Datatilsynet finder ingen anledning til kritik efter tilsyn med Vestjysk Banks håndtering af brud på persondatasikkerheden

Datatilsynet gennemførte i efteråret 2021 et skriftligt tilsyn med Vestjysk Bank for at vurdere, om banken overholder databeskyttelsesforordningens artikel 33 om anmeldelse og dokumentation af brud på persondatasikkerheden. Tilsynet blev iværksat efter en konstatering af, at Vestjysk Bank havde anmeldt færre brud pr. ansat end andre pengeinstitutter.

Datatilsynet fokuserede på bankens processer for håndtering og registrering af brud, vurdering af stikprøver af ikke-anmeldte brud samt retningslinjer, procedurer og uddannelsesaktiviteter. Vestjysk Bank fremsendte en udtalelse med svar på spørgsmål samt procesbeskrivelser og retningslinjer.

Tilsynet var en del af en større undersøgelse, hvor Datatilsynet undersøgte otte større kommuners og otte større bankers håndtering af brud på persondatasikkerheden. Organisationerne blev inddelt i grupper baseret på antallet af anmeldte brud. For gruppen med færrest anmeldte brud, som Vestjysk Bank var en del af, fokuserede tilsynet på, om de dataansvarlige foretager anmeldelse og dokumenterer brud i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet fremhævede, at dataansvarlige skal etablere procedurer og retningslinjer for at sikre korrekt behandling af brud, og at medarbejdere skal være bekendt med disse procedurer. Den dataansvarlige skal dokumentere alle brud, inklusiv omstændigheder, virkninger og afhjælpende foranstaltninger, så Datatilsynet kan kontrollere overholdelsen af reglerne.

Datatilsynet har i forbindelse med tilsynet vurderet tre konkrete brud på persondatasikkerheden, som banken ikke havde anmeldt.

Afgørelse

Datatilsynet konkluderede, at Vestjysk Bank overordnet set har passende procedurer og retningslinjer samt gennemfører passende uddannelsesaktiviteter til at opfange og behandle brud på persondatasikkerheden korrekt, jf. databeskyttelsesforordningens artikel 33.

• Datatilsynet fandt ikke grundlag for at tilsidesætte Vestjysk Banks vurdering af, at de ikke-anmeldte brud ikke indebar en risiko for fysiske personers rettigheder og frihedsrettigheder.
• Datatilsynet vurderede, at banken har fastlagt procedurer for intern indberetning af brud, hvem medarbejderne kan kontakte, og hvem der har ansvaret for at håndtere brud og foretage anmeldelse til Datatilsynet.
• Banken har udarbejdet forretningsgange og gennemført aktiviteter for at uddanne medarbejderne i databeskyttelse.

Datatilsynet bemærkede dog, at de ikke konkret har vurderet, om alle relevante medarbejdere har gennemført uddannelsesaktiviteterne, eller er bekendt med det fulde indhold af uddannelsesmaterialet.