Danmark: Digitaliseringsstyrelsen får kritik för otillräckliga säkerhetsåtgärder

Datatilsynet anser att det finns skäl att framföra kritik mot att danska Digitaliseringsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår bland annat att Digitaliseringsstyrelsen i mars 2021 anmält en personuppgiftsincident till Datatilsynet. Av anmälan framgick att Digitaliseringsstyrelsen den 29 och 30 mars 2021 kontaktats av en advokatbyrå angående en obehörig åtkomst till ett företags digitala brevlåda. Advokatbyrån hade som förvaltare bett Digitaliseringsstyrelsen att få tillgång till ett annat företags digitala brevlåda. Advokatbyrån upptäckte dock att de fått tillgång till fel företagsbrevlåda och kontaktade då Digitaliseringsstyrelsen.

Det framgick vidare av anmälan att Digitaliseringsstyrelsen, efter förfrågan från advokatbyrån, kontaktat myndighetens leverantör e-Boks och bett dem stänga den obehöriga åtkomsten den 30 mars 2021. e-Boks bekräftade att åtkomsten var stängd 30 mars 2021. På grundval av den specifika förfrågan genomförde Digitaliseringsstyrelsen ytterligare en utredning den 31 mars 2021 som visade att ytterligare 25 felaktiga åtkomster hade beviljats.

Under handläggningen av ärendet hävdade Digitaliseringsstyrelsen att myndigheten inte tidigare upplevt att det förekommit fel vid upprättandet av den aktuella listan. Efter incidenten införde myndigheten dock ett förfarande där ytterligare en anställd går igenom listorna över fel innan de skickas till leverantören, för att minimera risken för fel.

På grundval av vad Digitaliseringsstyrelsen uppgett utgår Datatilsynet ifrån att Digitaliseringsstyrelsen på grund av ett mänskligt misstag gett 26 förvaltare tillgång till felaktiga företags digitala brevlådor. Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.

Datatilsynet anser att kravet enligt artikel 32 GDPR på ändamålsenlig säkerhet normalt kommer att innebära att det i system med ett stort antal konfidentiella uppgifter om ett stort antal användare ska ställas högre krav på den personuppgiftsansvarige som ska säkerställa att ingen obehörig åtkomst till personuppgifter inträffar. Datatilsynet anser vidare att tillgång till uppgifter i sådana system ställer större krav på säkerhet mot att ett enskilt mänskligt fel kan leda till en större personuppgiftsincident.

Enligt Datatilsynet måste tilldelningen av tillträde till postlådor som tillhör tredje man, även där en förvaltare ges tillgång till dödsboets tillgångar och digital post, verifieras innan tillträde verkställs. För att uppfylla kraven på lämplig säkerhet kommer det därför enligt Datatilsynet krävas att det görs en kontroll av att det är förvaltaren som har utsetts som faktiskt också får tillträdet innan tillträdet öppnas.

Datatilsynet finner på grundval av ovanstående att Digitaliseringsstyrelsen, genom att inte ha vidtagit åtgärder för att säkerställa att listorna varit korrekta och enligt uppgift endast grundat försäkran om att inga mänskliga fel förekommit tidigare, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som är involverade i myndighetens behandling av personuppgifter. Datatilsynet anser därför att det finns skäl att framföra kritik mot att Digitaliseringsstyrelsens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Vid val av svar i försvårande riktning har Datatilsynet framhållit att Digitaliseringsstyrelsen anmält liknande fel tidigare till Datatilsynet, och att det är allmänt känt att mänskliga fel förekommer, varför säkerheten inte ensam kan bygga på en övertygelse om att människor inte gör fel.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Digitaliseringsstyrelsen

Beslutsnummer: 2021-442-12425

Beslutsdatum: 2022-03-04

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.