Frederikshavn Kommune kritiseres for manglende dokumentation af brud på persondatasikkerheden i 2018

Datatilsynet gennemførte i 2021 et skriftligt tilsyn med Frederikshavn Kommune for at undersøge, om kommunen overholder reglerne om anmeldelse og dokumentation af brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 33. Tilsynet blev iværksat efter en konstatering af, at Frederikshavn Kommune anmeldte færre brud end andre kommuner.

Tilsynets fokus

Tilsynet fokuserede på kommunens processer for håndtering og registrering af brud, vurdering af stikprøver af ikke-anmeldte brud samt gennemgang af retningslinjer, procedurer og uddannelsesaktiviteter.

Datatilsynet fremhævede, at dataansvarlige som udgangspunkt skal anmelde brud på persondatasikkerheden inden for 72 timer og internt dokumentere alle brud.

Kommunens ansvar

Datatilsynet understregede, at kommunen skal have passende procedurer og retningslinjer for at opdage og behandle brud korrekt, og at medarbejderne skal være bekendt med disse procedurer.

Frederikshavn Kommunes redegørelse

Frederikshavn Kommune oplyste, at der siden maj 2018 var registreret 34 brud, men at en hændelseslog for 2018 ikke kunne findes, dog med registrering af ét brud.

Datatilsynets vurdering af ikke-anmeldte brud

Kommunen redegjorde for tre ikke-anmeldte brud fra 2021, som Datatilsynet ikke tilsidesatte kommunens vurdering af, at de ikke skulle anmeldes. Datatilsynet bemærkede dog, at begrundelsen for troværdighedsvurderingen af modtageren i en af hændelserne burde dokumenteres bedre.

Procedurer og uddannelse

Datatilsynet vurderede, at Frederikshavn Kommune overordnet set har passende procedurer og uddannelsesaktiviteter, men bemærkede, at tilsynet ikke havde taget stilling til, om alle medarbejdere har gennemført uddannelsen, eller til uddannelsesmaterialets fulde indhold.

Afgørelse

Datatilsynet udtalte kritik af Frederikshavn Kommune for manglende dokumentation af brud på persondatasikkerheden i 2018, jf. databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet fandt dog, at kommunen overordnet set har passende procedurer og retningslinjer samt gennemfører passende uddannelsesaktiviteter for at håndtere brud på persondatasikkerheden korrekt, jf. databeskyttelsesforordningens artikel 33.

Begrundelse

• Kommunen har ikke kunnet fremlægge en hændelseslog for 2018, hvilket betyder, at den ikke har dokumenteret alle brud på persondatasikkerheden siden databeskyttelsesforordningens ikrafttræden.
• Datatilsynet tilsidesatte ikke kommunens vurdering af, at tre konkrete hændelser fra 2021 ikke skulle anmeldes.
• Kommunen har fastlagt procedurer for intern indberetning af brud, hvem medarbejderne kan kontakte, og hvem der har ansvaret for håndtering og anmeldelse.
• Kommunen har udarbejdet vejledninger og gennemført uddannelsesaktiviteter for medarbejderne.