Retsudvalget 2019-20
REU Alm.del
Offentligt
2167683_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
24. marts 2020
Politikontoret
Josephine Gremaud Ro-
senberg
2020-0030-3823
1406515
Hermed sendes besvarelse af spørgsmål nr. 963 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 24. februar 2020. Spørgs-
målet er stillet efter ønske fra Rosa Lund (EL).
Nick Hækkerup
/
Louise Black Mogensen
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 963: Spm. om ministeren vil indhente en udtalelse fra Datatilsynet, der belyser antallet af anmeldte sikkerhedsbrud i hvert af årene 2016-20 opdelt på offentlige og private virksomheder og på arten af sikkerhedsbrud, til justitsministeren
2167683_0002.png
Spørgsmål nr. 963 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren fra Datatilsynet indhente en udtalelse, der bely-
ser antallet af anmeldte sikkerhedsbrud i hvert af årene 2016-20
opdelt på offentlige og private virksomheder og på arten af sik-
kerhedsbrud?”
Svar:
Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en
udtalelse fra Datatilsynet, der har oplyst følgende:
”1.
Anmeldte sikkerhedsbrud
Før databeskyttelsesforordningen fandt anvendelse den 25. maj 2018
var dataansvarlige ikke forpligtet til at anmelde brud på persondata-
sikkerheden til Datatilsynet.
I perioden fra den 25. maj til den 31. december 2018 modtog Datatil-
synet 1.400 anmeldelser fra private dataansvarlige og 1.200 fra offent-
lige dataansvarlige.
I kalenderåret 2019 modtog Datatilsynet 2.800 anmeldelser fra private
dataansvarlige og 4.400 fra offentlige dataansvarlige.
Datatilsynet har indtil videre i perioden fra den 1. januar til den 27.
februar 2020 modtaget 770 anmeldelser fra private dataansvarlige og
1.090 anmeldelser fra offentlige dataansvarlige.
Som det fremgår af nedenstående diagram har udviklingen i anmeldte
brud pr. måned generelt været stigende siden maj 2018. Det er Data-
tilsynets vurdering, at antallet af anmeldelser pt. har stabiliseret sig på
ca. 200 anmeldte brud om ugen.
Det fremgår endvidere af diagrammet, at Datatilsynet i stort set hele perio-
2
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 963: Spm. om ministeren vil indhente en udtalelse fra Datatilsynet, der belyser antallet af anmeldte sikkerhedsbrud i hvert af årene 2016-20 opdelt på offentlige og private virksomheder og på arten af sikkerhedsbrud, til justitsministeren
2167683_0003.png
den har modtaget flere anmeldelser af brud på persondatasikkerheden fra
offentlige dataansvarlige end fra private dataansvarlige. Tilsynets oprettede
sager fordeler sig således med ca. 60 pct. Anmeldte brud fra offentlige
dataansvarlige og ca. 40 pct. fra private dataansvarlige.
Der tages forbehold for eventuelle indtastningsfejl og øvrige fejlregistrerin-
ger.
2. Kategorier af sikkerhedsbrud
Det er vanskeligt at foretage en meget præcis og entydig kategorise-
ring af anmeldte sikkerhedsbrud, og nedenstående kategorier er til
dels baseret på Datatilsynets skønsmæssige vurderinger.
Generelt kan Datatilsynet konstatere, at størstedelen af anmeldelserne
af brud på persondatasikkerheden baserer sig på hændelser, hvor per-
soner begår enkeltstående fejl – dvs.
menneskelige fejl og manglende
agtpågivenhed.
Eksempelvis er det tilsynets vurdering, at 65-70 pct.
af de anmeldte brud angår personoplysninger, der blev fremsendt til
en forkert modtager, primært på grund af fejlangivne mailadresser,
forkerte vedhæftede filer mv. Dette forhold gør sig gældende for både
offentlige og private dataansvarlige.
En anden udbredt problemstilling knytter sig til behandlingen af per-
sonoplysninger, der ved en fejl ikke blev undergivet den fortrolighed,
som den dataansvarlige havde vurderet som nødvendig for behandlin-
gen, f.eks. hvor e-mails er blevet sendt uden at være krypteret.
Over tid ses der endvidere at være en stigning (relativt set) i antallet
af anmeldelser af brud på persondatasikkerheden fra offentlige
dataansvarlige, der skyldtes manglende anonymisering af offentlig-
gjort materiale, f.eks. dagsordentekster og manglende anonymisering
ved videregivelse af personoplysninger, eksempelvis i forbindelse
med videregivelse af personoplysninger ved aktindsigtsanmodninger.
Tab og forglemmelse af dokumenter og udstyr i det offentlige rum,
typisk i offentlige transportmidler, forekommer også relativt ofte.
En mindre del af de anmeldte brud knytter sig til
utilstrækkelige orga-
nisatoriske eller teknisk foranstaltninger
i en organisation. Som ek-
sempler herpå ses navnlig manglende patching (sikkerhedsopdaterin-
ger af software), manglede backup, programmeringsfejl eller fejlkon-
figurering af systemer mv.
Endelig knytter en mindre del af de anmeldte brud sig til
udefrakom-
mende omstændigheder.
Brud på persondatasikkerheden, der skyldtes
(ondsindede) aktørers angreb, såsom phishing, malware, hacking eller
tilsvarende udgjorde således mindre end 5 pct. af de samlede anmel-
delser. Der ses dog at være en mindre stigning (relativt set) i antallet
af sådanne brud fra 2018 til 2019.
Tilsvarende ses der også et beskedent antal anmeldelser vedrørende
3
 REU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 963: Spm. om ministeren vil indhente en udtalelse fra Datatilsynet, der belyser antallet af anmeldte sikkerhedsbrud i hvert af årene 2016-20 opdelt på offentlige og private virksomheder og på arten af sikkerhedsbrud, til justitsministeren
tyveri af fysisk udstyr eller dokumenter fra aflåste lokaler, boliger og
biler.
3. Yderligere informationer
Datatilsynet skal i øvrigt henvise til, at der findes uddybende informa-
tioner i de opgørelser over anmeldelser af brud på persondatasikker-
heden, som tilsynet har offentliggjort kvartalsvist på tilsynets hjem-
meside i 2019. Den seneste opgørelse kan findes her:
https://www.da-
tatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/feb/opgoerelse-
over-sikkerhedsbrud-i-4-kvartal-2019/.”
4