[ GDPR: Vigtigt at reagere på brud på persondatasikkerheden ]

Skrevet 18. juni, 2020
Datatilsynet har i en ny afgørelse udtalt alvorlig kritik af Randers Kommunes behandling af personoplysninger på en række punkter.

 

Randers Kommune havde ved en fejl offentliggjort personoplysninger om en række borgere på kommunens hjemmeside, herunder også følsomme oplysninger om navne- og adressebeskyttelse og oplysninger om børns trivsel, diagnose og tilknytning til specialskole. 

 

Datatilsynet fandt, at der herved var sket et brud på persondatasikkerheden, fordi personoplysningerne var blevet gjort tilgængelige for alle.

 

Idet offentliggørelsen af oplysningerne skyldtes en fejl fra kommunens side, konkluderede tilsynet, at kommunen ikke havde implementeret passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.

 

Datatilsynet kritiserede herudover, at kommunens anmeldelse af sikkerhedsbruddet ikke havde fundet sted inden for fristen på 72 timer, og at de berørte borgere ikke var blevet underrettet om hændelsen uden unødig forsinkelse.

 

Afgørelsen understreger, at det er vigtigt – særligt når man behandler følsomme personoplysninger – at have foranstaltninger på plads, der sikrer et passende sikkerhedsniveau, sådan at personoplysninger ikke kommer til uvedkommendes kendskab.

 

Man skal herudover være opmærksom på de frister, der gælder for anmeldelse af sikkerhedsbrud og for underretning af berørte personer.

 

Fristen for anmeldelse af et sikkerhedsbrud til Datatilsynet på 72 timer kan alene fraviges, hvis det er umuligt at foretage underretningen inden fristens udløb.

 

Du kan læse afgørelsen fra Datatilsynet her: