Datatilsynets tilsyn med Ringkøbing-Skjern Kommunes anmeldelser af brud på persondatasikkerheden: Ingen kritik

Datatilsynet gennemførte i 2021 et skriftligt tilsyn med Ringkøbing-Skjern Kommune for at undersøge, om kommunen havde truffet passende sikkerhedsforanstaltninger for at mindske antallet af brud på persondatasikkerheden, særligt vedrørende uautoriseret videregivelse af personoplysninger. Tilsynet blev iværksat, da Datatilsynet konstaterede, at Ringkøbing-Skjern Kommune havde anmeldt flere brud på persondatasikkerheden pr. indbygger end andre kommuner i Danmark.

Tilsynets fokus

• Om kommunen havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.
• Om der var tilstrækkelige foranstaltninger til at beskytte borgere med navne- og adressebeskyttelse.

Datatilsynet bad kommunen om at besvare en række spørgsmål og fremsende et eksempel på en instruks til medarbejderne om håndtering af personoplysninger. Kommunen svarede og fremsendte relevante procedurer og retningslinjer.

Datatilsynets generelle betragtninger

Datatilsynet fremhævede, at passende behandlingssikkerhed indebærer:

• At dataansvarlige sikrer, at fortrolige oplysninger ikke kommer til uvedkommendes kendskab.
• At medarbejdere er bekendt med interne procedurer for håndtering af personoplysninger.
• At procedurer og sikkerhedsforanstaltninger løbende opdateres.

Datatilsynet understregede også vigtigheden af, at dataansvarlige dokumenterer alle brud på persondatasikkerheden, også dem der ikke anmeldes, samt begrundelserne for ikke at anmelde dem.

Datatilsynet konkluderede, at Ringkøbing-Skjern Kommune havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, for at reducere antallet af brud på persondatasikkerheden. Derfor blev der ikke udtalt kritik.

Begrundelse for afgørelsen:

• Kommunen har udarbejdet procedurer og gennemført aktiviteter for at uddanne medarbejderne i databeskyttelse.
• Kommunen har implementeret tekniske og organisatoriske foranstaltninger som følge af tidligere brud.
• Der er stort fokus på at undgå utilsigtet videregivelse af fortrolige oplysninger.

Datatilsynet henstillede dog, at kommunen fortsat har fokus på uddannelse, awareness-aktiviteter og løbende opdatering af procedurer og retningslinjer. Datatilsynet bemærkede, at tilsynet kan genoptages ved nye anmeldelser om brud på persondatasikkerheden.