Alvorlig kritik af Coop Danmark A/S for manglende sikkerhed på fællesdrev

Coop Danmark A/S anmeldte et brud på persondatasikkerheden til Datatilsynet, efter at virksomheden opdagede, at personoplysninger var placeret på virksomhedens fællesdrev uden tilstrækkelig adgangsstyring. Bruddet blev opdaget i forbindelse med afprøvning af et nyt scanningsværktøj. De berørte oplysninger vedrørte 477 medarbejdere og eksterne konsulenter og inkluderede bl.a. helbredsoplysninger, oplysninger om faglige tilhørsforhold, økonomiske forhold og personnumre. De ældste dokumenter på fællesdrevet daterede sig tilbage til 2013.

Coop Danmark A/S har oplyst, at virksomheden har en politik for adgangskontrol og brugerstyring fra december 2019, hvorefter det ikke er muligt for medarbejdere selv at oprette mapper på fællesdrevet, men at dette skal ske via en anmodning til IT-afdelingen. Coop Danmark A/S mente, at denne proces i vidt omfang har fungeret, og henviste til, at de pågældende personoplysninger blev fundet på et fildrev med over 17 terabyte data, og at oplysningerne relaterede sig til en periode (2013-2017), hvor der ikke var samme politik for brugerstyring som i dag.

Datatilsynet har vurderet, at der var sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at Coop Danmark A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1.

• Datatilsynet lagde vægt på, at oplysningerne havde været tilgængelige fra 2013 til 2021, og at Coop Danmark A/S tidligere burde have været opmærksom på risikoen for, at medarbejdere fejlagtigt kunne have placeret personoplysninger på virksomhedens fællesdrev.
• Datatilsynet fandt, at Coop Danmark A/S burde have kontrolleret og ryddet op på fællesdrevet og indført relevante sikkerhedsforanstaltninger på et tidligere tidspunkt.
• Datatilsynet bemærkede, at Coop Danmark A/S er i gang med at overgå til en mere sikker løsning med bedre brugerstyring og logning.

Datatilsynet fandt, at Coop Danmark A/S havde handlet i overensstemmelse med Databeskyttelsesforordningen § 33, stk. 1, da virksomheden anmeldte bruddet inden for 72-timers fristen.