Danmark: Datatilsynet uttrycker kritik mot Familieretshusets behandling av personuppgifter

Datatilsynet uttrycker kritik mot Familieretshusets behandling av personuppgifter, som i flera fall inte vidtagit lämpliga säkerhetsåtgärder. Dessutom saknades skriftligt personuppgiftsbiträdesavtal med två personuppgiftsbiträden.

Under perioden 16 juni till 8 september 2020 har Datatilsynet mottagit sju specifika klagomål om Familieretshusets behandling av personuppgifter. På grundval av de mottagna anmälningarna och klagomålen genomförde Datatilsynet en inspektion av Familieretshusets behandling av personuppgifter. I synnerhet ville Datatilsynet undersöka säkerheten vid Familieretshusets manuella behandlingar och hantering av mänskliga fel. Vidare ville myndigheten också undersöka säkerheten i Familieretshusets självbetjäningslösningar samt verksamhetens riktlinjer för anonymisering av material som vidarebefordrades till andra personer och myndigheter.

Efter en granskning av ärenden rörande rapporter om inträffade personuppgiftsincidenter fann Datatilsynet även att Familieretshuset fram till den 27 september 2020 rapporterat in 158 personuppgiftsincidenter till myndigheten. Av dessa överträdelser relaterade 130 till oavsiktligt utlämnande av personlig information, inklusive information om personer med skyddad identitet. Datatilsynet fann även att det i Familieretshusets självbetjäningslösningar förekommit oavsiktligt utlämnande av information om 3400 personer. Detta har berott på ett känt tekniskt fel i en komponent som varit i drift under ett antal år.

Även om få av de behandlingar som utförs av Familieretshuset lett till personuppgiftsincidenter, fann Datatilsynet flera fall där felen relativt lätt kunde ha undvikits. Detta gäller både i samband med en åtstramning av de genomförda organisatoriska åtgärderna, men också i samband med bedömningen av risken för de registrerade. Datatilsynet fann också några punkter där IT-stöd utformats och använts på sätt som bör optimeras.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Familjehuset

Beslutsnummer: 2019-432-0037

Beslutsdatum: 2021-03-04

Källa: Berslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.