Persondataretlige nyheder – oktober 2021
Udvalgte afgørelser inden for persondata fra oktober:
Bøde på EUR 412.000 for manglende sikkerhedsforanstaltninger
Det norske datatilsyn (Datatilsynet) har idømt Østre Toten kommune en bøde på EUR 412.000. Kommunen blev i januar 2021 ramt af et cyberangreb, som resulterede i, at kommunens data blev krypteret, ligesom sikkerhedskopier blev slettet.
Efterfølgende blev en større mængde data senere offentliggjort på the dark web, hvilket indebar, at ca. 30.000 dokumenter indeholdende bl.a. oplysninger om etnisk oprindelse, politisk mening, religiøs overbevisning, fagforeningsmedlemskab, seksuel orientering, sundhedsstatus samt bankdata for kommunens beboere og ansatte blev gjort til genstand for cyberangrebet.
Datatilsynets undersøgelse afslørede, at kommunen havde grundlæggende mangler med hensyn til sikkerheden af persondata og tilhørende intern kontrol. Datatilsynet konstaterede bl.a., at kommunen ikke havde brugt to-faktor-godkendelse ved logning på systemer og manglede passende backupsystemer.
Dantherm får kritik for manglende sikkerhedsforanstaltninger
Dantherm anmeldte den 25. september 2020 et brud på persondatasikkerheden til Datatilsynet, efter at Dantherm havde været udsat for et ransomwareangreb, hvor det lykkedes hackere at få adgang til Dantherms it-miljø, hvorfra hackerne lækkede oplysninger om nuværende og tidligere ansatte til the dark web.
Hackerne fik formentlig adgang via brugeren ”AV”, som havde administratorrettigheder. Brugerkontoen havde tidligere været brugt af en ekstern konsulent, som ikke burde have adgang på tidspunktet for angrebet. Hackerne slettede de fleste af logfilerne, hvorfor Dantherm ikke kunne ikke svare på, hvorvidt kontoen ”AV” havde været aktiv eller deaktiveret.
Datatilsynet udtalte, at det påhviler den dataansvarlige at identificere de risici, den dataansvarliges behandling udgør for de registrerede og sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. Kravet om passende sikkerhed indebærer, at det i systemlandskaber, hvor der kan skabes adgang til fortrolige personoplysninger eller særlige kategorier af persondata på tværs af forskellige ressourcer i domænestrukturen, normalt skal ske en begrænsning i administrative privilegier. Det vil derfor normalt være et udtryk for passende sikkerhed, at administratorrettigheden alene gives til de relevante begrænsede ressourcer og i et begrænset tidsrum.
Dette kunne udføres ved, at der ikke bruges brede administrative privilegier og adgange, samt at disse ikke gives permanent, men alene ved at elevere rettighederne ad hoc.
Tildeling af administratorrettigheder bør tilrettelægges på en sådan måde, at der alene gives adgang til relevante ressourcer, og der i alle tilfælde foretages maskinel registrering (logning) af alle anvendelser af rettighederne. Logfilerne skal endvidere gemmes på en sådan måde, at brugerne med de administrative rettigheder ikke kan slette eller ændre i disse.
Datatilsynet fandt, at Dantherms behandling af personoplysninger ikke havde været i overensstemmelse med reglerne om passende sikkerhed.
Datatilsynet lagde ved vurderingen vægt på, at Dantherm ikke havde sikret, at brugere med administratorrettigheder ikke kunne slette eller ændre logfilerne.
Herudover fandt Datatilsynet, at Dantherm ikke havde levet op til kravet, om at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandlingen af personoplysninger. Datatilsynet lagde i den forbindelse vægt på, at Dantherm ikke kunne dokumentere, i hvilke perioder ”AV”-kontoen var aktiv.
På den baggrund fandt Datatilsynet grundlag for at udtale kritik af, at Dantherms behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesreglerne.
Sagen indeholdt såkaldt grænseoverskridende behandling af personoplysninger, da medarbejdere i bl.a. Tyskland, Polen og England også var berørt af bruddet. Datatilsynet har derfor truffet afgørelse som ledende tilsynsmyndighed efter ”one-stop-shop-mekanismen”.
Alvorlig kritik af isenkræmmers behandling af personoplysninger på hjemmesidebesøgende
I forbindelse med Datatilsynets iværksættelse af sagen skiftede Alstrøm – Din Isenkræmmer ApS (herefter Alstrøm) samtykkeløsning, hvorfor Datatilsynet tog stilling til to samtykkeløsninger i sagen.
Den første samtykkeløsning, som Alstrøm benyttede, præsenterede den hjemmesidebesøgende for information om, at der blev indsamlet og behandlet oplysninger i forbindelse med besøget på www.alstrom.dk. Den hjemmesidebesøgende havde herefter mulighed for at vælge ”Læs mere om cookies” eller ”Luk”.
Oplysningerne blev indsamlet til flere forskellige formål, og det var ikke muligt for den hjemmesidebesøgende at afvise at give samtykke.
Datatilsynet fandt, at Alstrøm ved brug af den første samtykkeløsning ikke indhentede et gyldigt samtykke til at behandle oplysninger om de hjemmesidebesøgende. Begrundelsen herfor var, at den hjemmesidebesøgende ikke kunne vælge mellem de forskellige behandlingsformål, og at den hjemmesidebesøgende ikke havde mulighed for at afstå fra at give samtykke.
Datatilsynet udtalte på baggrund heraf alvorlig kritik af, at behandlingen af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 6.
Den anden samtykkeløsning, som blev benyttet på www.alstrom.dk, gav den hjemmesidebesøgende mere information om den behandling, som Alstrøm foretog, ligesom den hjemmesidebesøgende havde mulighed for at til- eller fravælge forskellige formål samt at vælge mellem ”Acceptér” eller ”ACCEPTÉR ALLE”.
Datatilsynet fandt også her grundlag for at udtale kritik af samtykkeløsningen. Kritikken var begrundet i, at samtykkeløsningens visuelle udformning skubbede den hjemmesidebesøgende i retning af ”ACCEPTÉR ALLE”-knappen, og at det derfor ikke var tilsvarende let at afstå fra at give samtykke, som det var at give samtykke.
Datatilsynet udtalte endvidere alvorlig kritik af den anden samtykkeløsning, da der allerede ved den hjemmesidebesøgendes tilgang til www.alstrom.dk blev indsamlet oplysninger om den hjemmesidebesøgende til brug for bl.a. statistik og markedsføring, på trods af at den hjemmesidebesøgende ikke havde samtykket hertil.
