Danmark: Datatilsynet fattar beslut avseende säkerhetsöverträdelser

Den danska dataskyddsmyndigheten Datatilsynet meddelar att de fattat beslut i tre fall avseende brott mot dataskyddsförordningen (“GDPR”). De tre besluten gällde FLIS-systemet, Schultz Expose och Odense kommun. Gemensamt för fallen är att det på grund av bristande grundläggande kontroller antingen har förekommit för mycket information som vidarebefordrats till mottagarna eller tillgång till information som rör alltför många medborgare.

I två av fallen finns det enligt Datatilsynet information relaterad till sysselsättning för ungefär 1,5 miljoner medborgare respektive upp till 4,2 miljoner medborgare. Här har Datatilsynet uttryckt kritik mot de företag som var personuppgiftsbiträden för kommunerna. I det senare fallet var överlåtelsen av namn, adress och personnummer oavsiktlig när en person fyllde i en kommuns digitala ansökan för en annan medborgares räkning.

Den senare händelsen är ett exempel på ett fall där kommunen som ansvarar för personuppgiftsbehandlingen inte gör tillräckligt grundläggande kontroller av vilken information som vidarebefordrades till personuppgiftsbiträdet i samband med att ett IT-system tagits i drift. Samma sak gäller i de tidigare nämnda fallen där man inte heller utfört grundläggande kontroller av den information som lämnats ut och varit möjlig att komma åt efter att systemet har ändrats i samband med en uppdatering.

Datatilsynet betonar att IT-system regelbundet bör:

  • Se till att systemet inte vidarebefordrar mer information än vad som är nödvändigt till lämpliga mottagare,
  • Se till att systemet inte lämnar ut information till fel mottagare,
  • Säkerställer att åtkomsten till systemet fungerar på lämpligt sätt, inbegripet att användarna endast har tillgång till exakt den information som de bör ha tillgång till

Enligt Datatilsynet är det särskilt viktigt att dessa kontroller utförs innan ett IT-system tas i drift och efter att en ändring gjorts i systemet.

Du kan läsa pressmeddelandet här och besluten här, här och här, samtliga endast tillgängliga på danska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.