Datatilsynets tilsyn med Kalundborg Kommunes anmeldelser af brud på persondatasikkerheden: Ingen kritik

Datatilsynet gennemførte i foråret 2021 et skriftligt tilsyn med Kalundborg Kommune for at undersøge, om kommunen havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, for at mindske antallet af brud på persondatasikkerheden, særligt vedrørende uautoriseret videregivelse af personoplysninger. Tilsynet blev iværksat efter en konstatering af, at Kalundborg Kommune havde anmeldt markant flere brud på persondatasikkerheden pr. indbygger end andre kommuner i Danmark.

Tilsynets fokus

• Om kommunen havde truffet passende sikkerhedsforanstaltninger for at nedbringe antallet af brud på persondatasikkerheden.
• Om der var sket uautoriseret videregivelse af personoplysninger i forbindelse med fremsendelse af oplysninger til borgere og myndigheder, herunder borgere med navne- og adressebeskyttelse.

Datatilsynet understregede, at et højt antal anmeldelser ikke nødvendigvis indikerer manglende overholdelse af databeskyttelsesreglerne. Kommunen fremsendte en udtalelse med svar på Datatilsynets spørgsmål samt eksempler på relevante procedurer og retningslinjer.

Generelle betragtninger fra Datatilsynet

Datatilsynet fremhævede vigtigheden af, at dataansvarlige:

• Sikrer, at fortrolige og følsomme personoplysninger ikke kommer til uvedkommendes kendskab.
• Sikrer, at medarbejdere er bekendt med interne procedurer for håndtering af personoplysninger.
• Løbende opdaterer procedurer, retningslinjer og tekniske sikkerhedsforanstaltninger.

Datatilsynet bemærkede, at de dataansvarlige bør dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige efter at have vurderet bruddet er nået frem til, at det ikke skal anmeldes til Datatilsynet. Dokumentationen bør i relation til denne beslutning omfatte en nærmere redegørelse for, hvorfor den dataansvarlige mener, at bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder.

Afgørelse

Datatilsynet fandt, at Kalundborg Kommune på det foreliggende grundlag havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, for at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger. Datatilsynet udtalte derfor ingen kritik.

Begrundelse

Datatilsynet lagde vægt på, at:

• Kommunen havde udarbejdet procedurer og gennemført aktiviteter for at uddanne medarbejderne i databeskyttelse.
• Kommunen havde gjort sig overvejelser og indført tekniske og organisatoriske foranstaltninger efter tidligere brud på persondatasikkerheden.
• Der var stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger, understøttet af forretningsgange, vejledning og systemmæssige tiltag.

Datatilsynet henstillede dog, at kommunen fortsat har fokus på uddannelse, awareness-aktiviteter og løbende opdatering af procedurer og sikkerhedsforanstaltninger. Datatilsynet bemærkede, at tilsynet kan genoptages ved nye anmeldelser om brud på persondatasikkerheden.