REU, Alm.del - 2019-20 - Bilag 534: Nyhedstekst fra Datatilsynet om et konstateret brud på persondatasikkerheden hos tilsynet, fra justitsministeren

Retsudvalget 2019-20
REU Alm.del Bilag 534
Offentligt

20. august 2020

J.nr. 2020-019-0006

Dok.nr. 246812

Nyhedstekst til Datatilsynets hjemmeside om brud på

persondatasikkerheden i Datatilsynet

Brud på persondatasikkerheden hos Datatilsynet

Datatilsynet har konstateret, at en mængde af tilsynets papiraffald, som skulle have været

makuleret, i en periode har været bortskaffet som almindeligt papiraffald.

Datatilsynet er i starten af august blevet opmærksom på et brud på persondatasikkerheden på

tilsynets egne lokaler i Valby.

Sagen omfatter fysiske dokumenter, som kan have indeholdt fortrolige og følsomme oplysnin-

ger om borgere, medarbejdere m.m. Der er tale om materiale, som ellers opbevares elektro-

nisk i Datatilsynets systemer, men som i forbindelse med tilsynets sagsbehandling er blevet

printet af tilsynets medarbejdere, når de f.eks. har skullet drøfte en sag internt i tilsynet eller

læse korrektur på et udkast til et brev eller et notat. Materialet er herefter blevet smidt ud i en

beholder i den tro, at dette papiraffald ville blive makuleret. En medarbejder fra Datatilsynet

har imidlertid konstateret, at det i stedet er blevet bortskaffet som almindeligt papiraffald. Det

indebærer, at papiraffaldet har været opbevaret i en container i et aflåst affaldsrum, som byg-

ningens servicepersonale og det vognmandsfirma, der har hentet affaldet og kørt det til gen-

brug, har haft adgang til.

"Det er dybt beklageligt. Vi stiller høje krav til både virksomheder og andre myndigheder om

at passe godt på danskernes personoplysninger, og derfor er det meget uheldigt, at vi selv

ikke har skilt os af med denne del af Datatilsynets papiraffald på en passende måde, siger Mia

Staal Klintrup, som er databeskyttelsesrådgiver i Datatilsynet, og tilføjer:

"Intet tyder på, at papiraffaldet er kommet i de forkerte hænder, og det er vi lettede over, men

det ændrer ikke på, at sådan en fejl ikke må ske. Derfor har vi nu gennemgået vores retnings-

linjer og indskærpet procedurerne, ligesom vi selvfølgelig har sørget for, at papiraffaldet frem-

over bliver håndteret korrekt."

Bruddet har stået på i perioden fra februar, hvor Datatilsynet flyttede til nye lokaler, til august,

hvor en medarbejder blev opmærksom på problemet. Fra midten af marts til midten af juni har

problemstillingen dog ikke været aktuel, da alle medarbejdere i denne periode arbejdede hjem-

mefra grundet COVID-19. Der er ingen indikationer på, at personoplysninger skulle være kom-

met uvedkommende i hænde.

REU, Alm.del - 2019-20 - Bilag 534: Nyhedstekst fra Datatilsynet om et konstateret brud på persondatasikkerheden hos tilsynet, fra justitsministeren

Side 2 af 2

Hvad er der sket?

Da Datatilsynet flyttede ind i de nuværende lokaler i Valby i februar, blev der stillet krav om en

beholder til papiraffald, der skal makuleres, ligesom der var i tilsynets tidligere lokaler i Bor-

gergade. Beholderen skulle bruges til materiale, der kunne indeholde personoplysninger om

borgere, medarbejdere o.l. En beholder til makulering blev imidlertid ikke stillet op, hvilket der

også i første omgang blev fulgt op på, men grundet interne misforståelser blev en beholder til

almindelig papiraffald derefter markeret som makuleringsspand, uden at den ansvarlige med-

arbejder fik tjekket op på, at der nu også var tale om en sådan makuleringsspand. Beholderen

er blevet tømt 2-3 gange om ugen, hvorefter papiraffaldet er blevet opbevaret i en container i

et aflåst skralderum. Indholdet af rummets to papircontainere er blevet afhentet tirsdage og

fredage, hvorefter papiret er blevet kørt til genanvendelse - typisk til pap, avispapir o.l.

Hvad har Datatilsynet gjort efterfølgende?



Fra den dag, hvor bruddet blev konstateret, er Datatilsynets papiraffald blevet bort-

skaffet på den tilsigtede måde.



Bruddet på persondatasikkerheden er blevet indberettet gennem den samme løsning,

som alle andre dataansvarlige bruger, når de konstaterer brud på persondatasikker-

heden. Anmeldelsen skete knap et døgn for sent i forhold til det krav, Datatilsynet stil-

ler, om underretning inden for højst 72 timer. Dette er i sig selv meget uheldigt og er

blevet påtalt over for den medarbejder, som havde ansvaret for at anmelde det kon-

krete brud.



Datatilsynet overvejer spørgsmålet om evt. underretning af de registrerede.



Datatilsynet har gennemgået alle procedurer for bortskaffelse af papiraffald og ind-

skærpet retningslinjerne.

Pressekontakt

Journalister er velkomne til at kontakte kommunikationskonsulent Anders Due på tlf. 29 49 32

83.

Fakta: Brud på persondatasikkerheden

I Databeskyttelsesforordningen (GDPR) defineres et brud på persondatasikkerheden således:

"Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uau-

toriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret el-

ler på anden måde behandlet."

Den dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsin-

kelse og om muligt inden 72 timer foretage anmeldelse af bruddet til Datatilsynet via

Virk.dk,

medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller

frihedsrettigheder.

I 2019 modtog Datatilsynet 7.242 underretninger om brud på persondatasikkerheden.