Nye initiativer-risikovurdering
Myndighedsafgørelser

Påbud fra Datatilsynet om at nemlig.com skal underrette sine kunder efter et databrud

Datatilsynet har den 27. februar 2020 offentliggjort et påbud til en dansk on-line detailvirksomhed (nemlig.com) om at orientere virksomhedens kunder om et konstateret databrud, der blev anmeldt til Datatilsynet tilbage i januar 2019.

Nemlig.com anførte i anmeldelsen af bruddet, at virksomheden havde konstateret, at der ikke har været etableret tilstrækkelig adgangskontrol på en webbaseret rapportservice, så ordreoplysninger om kunder var gjort tilgængelige på internettet. Virksomheden anslog at det drejede sig om ca. 250.000 kunder, og at ordreroplysningerne bl.a. indeholdt navn, adresse, kundenummer og oplysninger om indholdet i den pågældende ordre.

Det fremgik af nemlig.com’s anmeldelse af bruddet, at de berørte registrerede ikke ville blive underrettet: Nemlig.com anførte som argumentation herfor at:

  • Bruddet ikke indebar en høj risiko for de berørte personers rettigheder eller frihedsrettigheder.
  • Der blev implementeret tilstrækkelige tekniske- og organisatoriske sikkerhedsforanstaltninger for at afhjælpe hændelsen, herunder sikring af at ekstern adgang til servicen ikke længere var mulig (lukning af firewall), samt test og validering af interne adgange.
  • Nemlig.com ikke havde indikationer af usædvanlig netværkstrafik mod den pågældende service

Datatilsynet besluttede at gå ind i sagen, da der var tale om et betydeligt antal registrerede (omkring 250.000), og da nemlig.com ikke havde vurderet risikoen særskilt for den delmængde af de registrerede, der måtte have hemmelig eller udeladt adresse. Datatilsynet foretog en fornyet vurdering af risikoen for denne gruppe af registrerede, jf. den hjemmel Datatilsynet har hertil i Databeskyttelses-forordningens art. 34 stk. 4, og nåede frem til, at risikoen for kunder med hemmelig adresse var høj. Datatilsynet pålagde på den baggrund nemlig.com at underrette de registrerede om bruddet.

Afgørelsen viser, at der selv i ellers homogene behandlinger af oplysninger, som generelt ikke har en høj risikoprofil, kan være forhold for den enkelte registrerede, der indebærer en høj risiko. Den risikovurdering, der foretages af den dataansvarlige – for om der skal ske underretning – skal afspejle sådanne individuelle forhold.

Hvilke information om dokumentationen af den dataansvarlige behandlinger af personoplysninger kan der udledes af dette påbud?

Hos Pdhub anvender vi modelleringssproget Archimate til at dokumentere de forretningsprocesser, IT-systemer og persondata, der indgår i de behandlingsaktiviteter, som den dataansvarlige gennemfører. Ovenpå disse modeller af virkeligheden har vi udviklet en GDPR-metamodel, som fastholder al dokumentation af efterlevelsen af Databeskyttelseslovgivningen som attributter til modellens objekter. Dermed kan dokumentationen af virksomhedens GDPR-compliance udvikles og vedligeholdes som en integreret del af virksomhedens almindelige dokumentation (af forretningsprocesser og IT-landskab mv.) fremfor at blive betragtet som et selvstændigt dokumentationsområde. Det betyder alt andet lige, at der er større chance for, at GDPR-dokumentationen bliver vedligeholdt.

Nedenfor ser du en simpel model af kundekøbsprocessen i nemlig.com. Kunden danner en indkøbskurv på nemlig.com, hvorefter der indsamles og registreres personoplysninger i forbindelse med kundes godkendelse og betaling af købet. Efter købets afslutning bruger nemlig.com de indsamlede personoplysninger til at samle varerne til kundes kurv, og til at distribuere varerne til kunden.

Behandlingen af personoplysninger sker dels på nemlig.com, dels gennem nemlig’s ERP-platform (logistik, økonomistyring mv.). Oplysningerne om ordren er i modellen samlet i forretningsobjektet ”ordreroplysninger”. På dette objekt kan man i modellen anfører, hvilke typer af personoplysninger, der er tale om (fx navn, adresser, kundenummer), hvilket behandlingsgrundlag der anvendes (og hvorfor!), kilden til oplysningerne osv. Modellen indeholder også en reference til den GDPR-risikovurdering, der beskriver risikoen ved behandlingen set fra den registreredes synspunkt.

Påbuddet fra Datatilsynet viser, at man skal passe på med at drage forhastede oplysninger om risikobilledet for grupper af registrerede, der tilsyneladende er meget homogene. Det er således klart, at den delmængde af kunder, som har hemmelig adresse, er langt mere påvirket af det brud, der er beskrevet i casen, end kunder uden hemmelig adresse.

Når man dokumentere sine behandlingsaktiviteter ved brug af Archimate kan man håndtere denne problematik ved at operere med 2 forskellige grupper af registrerede – kunder henholdsvis uden og med hemmelig adresse. De forskellige risikobilleder for de 2 typer af registrerede skal fremgå af den GDPR-risikovurdering, som skal udarbejdes i tilknytning til kundekøbs-processen – på den måde kan man nå frem til den konklusion, at den ene gruppe af registrerede skal orienteres om et brud, mens den anden ikke skal.

Du kan læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *