Datatilsynet har undersökt en personuppgiftsincident på danska justitiedepartementet. Enligt Datatilsynet har justitiedepartementet inte bevisat att personuppgifter behandlats med tillräcklig säkerhet. Datatilsynet uttrycker därför allvarlig kritik mot justitiedepartementet och beordrar departementet att informera de registrerade om den inträffade personuppgiftsincidenten.
Av Datatilsynets beslut framgår att justitiedepartementet skickat ett e-postmeddelande till danska advokatsamfundet med information om 35 personer. E-postmeddelandet skickades utanför de normalt krypterade kanalerna och det har inte dokumenteras om e-postmeddelandet skickats krypterat eller inte.
Med anledning av detta uttrycker Datatilsynet allvarlig kritik mot justitiedepartementet för att ha handlat i strid med reglerna i dataskyddsförordningen (“GDPR”), både för att departementet skickat e-postmeddelandet och för hur justitiedepartementet hanterat personuppgiftsincidenten.
Enligt Datatilsynet var det särskilt problematiskt att det tagit cirka tre månader från det att justitiedepartementet informerats om det potentiella intrånget tills dess att händelsen utreddes av departementet. Detta ledde enligt Datatilsynet till en försenad anmälan till myndigheten. Den försenade anmälan bidrog antagligen också till att det inte kunde klargöras med säkerhet hur e-postmeddelandet överförts via Internet.
Vidare kritiserar Datatilsynet justitiedepartementet för att, efter tre månaders utredning av händelsen, ännu inte beslutat om de berörda registrerade skulle informeras om personuppgiftsincidenten eller inte. I kompletterade information till Datatilsynet förklarade justitiedepartementet att departementet beslutat att inte informera de registrerade. Datatilsynet ansåg dock att detta beslut borde ha fattats tidigare eftersom beslutet inte baserades på ny information i ärendet.
Datatilsynets delade emellertid inte justitiedepartementets bedömning att de registrerade inte borde informeras. Enligt Datatilsynets behandlade justitiedepartementets riskbedömning inte de specifika registrerades potentiella förlust av rättigheter, utan departementet hade endast ett allmänt fokus i riskbedömningen, och exempelvis förlust av anseende eller framtida affärer ingick inte i bedömningen. När Datatilsynet bedömde risken klassades denna som hög varför justitiedepartementet var skyldiga att informera de registrerade om händelsen.