Danmark: Datatilsynet uttrycker kritik mot Familieretshusets behandling av personuppgifter

Datatilsynet uttrycker kritik mot Familieretshusets behandling av personuppgifter, som i flera fall inte vidtagit lämpliga säkerhetsåtgärder. Dessutom saknades skriftligt personuppgiftsbiträdesavtal med två personuppgiftsbiträden.

Under perioden 16 juni till 8 september 2020 har Datatilsynet mottagit sju specifika klagomål om Familieretshusets behandling av personuppgifter. På grundval av de mottagna anmälningarna och klagomålen genomförde Datatilsynet en inspektion av Familieretshusets behandling av personuppgifter. I synnerhet ville Datatilsynet undersöka säkerheten vid Familieretshusets manuella behandlingar och hantering av mänskliga fel. Vidare ville myndigheten också undersöka säkerheten i Familieretshusets självbetjäningslösningar samt verksamhetens riktlinjer för anonymisering av material som vidarebefordrades till andra personer och myndigheter.

Efter en granskning av ärenden rörande rapporter om inträffade personuppgiftsincidenter fann Datatilsynet även att Familieretshuset fram till den 27 september 2020 rapporterat in 158 personuppgiftsincidenter till myndigheten. Av dessa överträdelser relaterade 130 till oavsiktligt utlämnande av personlig information, inklusive information om personer med skyddad identitet. Datatilsynet fann även att det i Familieretshusets självbetjäningslösningar förekommit oavsiktligt utlämnande av information om 3400 personer. Detta har berott på ett känt tekniskt fel i en komponent som varit i drift under ett antal år.

Även om få av de behandlingar som utförs av Familieretshuset lett till personuppgiftsincidenter, fann Datatilsynet flera fall där felen relativt lätt kunde ha undvikits. Detta gäller både i samband med en åtstramning av de genomförda organisatoriska åtgärderna, men också i samband med bedömningen av risken för de registrerade. Datatilsynet fann också några punkter där IT-stöd utformats och använts på sätt som bör optimeras.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Familjehuset

Beslutsnummer: 2019-432-0037

Beslutsdatum: 2021-03-04

Källa: Berslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.