PDHUB-GDPR-DATABESKYTTELSE
Myndighedsafgørelser

Surprise – sikkerheden skal være på plads inden behandlingen af personoplysninger påbegyndes!

Datatilsynet udtalte i en afgørelse fra begyndelsen af maj måned alvorlig kritik af, at Styrelsen for IT og Læring (STIL), som databehandler, ikke har levet op til kravene i Databeskyttelsesforordningens artikel 32, da STIL ved en test af monitoreringsprogrammet ”Den Digitale Prøvevagt” ikke havde gennemført de sikkerhedsforanstaltninger, der var passende i forhold til risikoniveauet, der i øvrigt først blev identificeret efter afholdelse af testen.

”Den digitale Prøvevagt” er et program, der logger elevernes handlinger på de computere, der anvendes under prøver på landets gymnasier. Formålet med programmet er at opdage og forebygge, at eleverne snyder under prøverne.  STIL gennemførte i marts 2019 en generalprøve af programmet, som ca. 8.000 elever frivilligt valgte at installere og teste. Det betød, at der blev behandlet personoplysninger om disse elever.

STIL havde planlagt at gennemføre en risikovurdering af løsningen efter afholdelsen af generalprøven for at bruge erfaringerne herfra til at afdække og beslutte behovet for yderligere sikkerhedsforanstaltninger af teknisk og organisatorisk art. Den gennemførte risikovurdering viste, bl.a. med afsæt i generalprøven, at programmet både funktionelt og sikkerhedsmæssigt havde en række udfordringer – på sikkerhedssiden bl.a. i forhold til adgangsstyring og logning.

På den baggrund kunne Datatilsynet derfor konstatere, at STIL ved generalprøven ikke havde gennemført foranstaltninger, der var passende for det risikoniveau, som den efterfølgende risikovurdering havde identificeret. STIL havde dermed ikke op til Databeskyttelsesforordningens artikel 32, som er det Datatilsynet udtaler alvorlig kritik af.

Datatilsynet indskærpede også i afgørelsen, at en risikovurdering med henblik på at identificere det passende sikkerhedsniveau skal være foretaget inden behandlingen af personoplysninger påbegyndes. I den konkrete sag er det STIL, som databehandler, der er udsat for den alvorlige kritik. Kravet om at fastlæggelsen af sikkerhedsniveauet skal ske inden behandlingen påbegyndes er imidlertid også en direkte fordring til den dataansvarlige – i dette tilfælde de gymnasieskoler, der anvender programmet.

I Databeskyttelsesforordningens art. 25 (privacy-by-design/default) fremgår det at “Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger…”

Art. 25 i Databeskyttelsesforordningen kan med nogen ret hævdes at være en af eller måske den mest kritiske bestemmelse i hele forordningen, fordi den kræver at den dataansvarlige sikrer, at alle nye persondatabehandlinger efterlever databeskyttelsesprincipperne fra de ”bliver født”. Det er også en af forordningens mest udfordrende bestemmelser, fordi efterlevelsen af art. 25 kræver permanente forandringer af den måde organisationer og virksomheder gennemfører forandringer på. Her er vi altså udover juraen og dybt nede i ledelsesværktøjskassen.

I praksis kræver art. 25 både tilpasninger af den måde forandringer styres på, og af de konkrete leverancer, som forandringsprocessen genererer. Forandringer kan styres på mange forskellige måder: Større forandringer organiseres typisk som programmer eller projekter, der enten styres gennem brug af klassiske vandfaldsmodeller, fx PRINCE 2, eller gennem brug af agile metoder, fx SCRUM. Uanset valg af styringsmodel er det fra et databeskyttelsessynspunkt afgørende, at der i styringsmodellerne indarbejdes ledelseskontroller, der sikrer, at der undervejs gennemføres de analyser, udarbejdes den dokumentation og leveres de løsninger, som understøtter, at de nye persondatabehandlinger lever op til bestemmelserne, når de sættes i drift. I figuren neden illustreres, hvordan ledelseskontroller kan indbygges i en PRINCE-2 inspireret styringsmodel.

GDPR stiller også krav til de leverancer, projekterne skal levere. Der skal eksempelvis udarbejdes risikovurderinger (og måske konsekvensanalyser), databehandleraftaler, overførselsgrundlag mv. Hvis den dataansvarlige selv står for udviklingen af løsningen, skal der udarbejdes principper for kodning/programmering, der understøtter behandlingssikkerheden samt efterlevelsen af de øvrige GDPR-principper, de registreredes rettigheder mv. Hvis den dataansvarlige, som i dette tilfælde, anskaffer en eksternt udviklet løsning, skal den dataansvarlige selv gennemføre en risikovurdering (med udgangspunkt i de registreredes privatliv og frihedsrettigheder) og på baggrund heraf stille krav til behandlingssikkerheden mv. i de løsninger, der skal varetage behandlingen af personoplysninger. Alt dette kræver ny standarder, uddannelse af medarbejdere etc.

Det er vores erfaring, at mange virksomheder undervurderer vigtigheden af at få styr på organisationens forandringsprocesser i relation til GDPR. Det manglende fokus på forandringssiden har betydet, at den store indsats mange virksomheder gjorde frem mod 25. maj 2018 for at få løftet GDPR-compliance- niveauet, nu delvist er undermineret af de nye persondatabehandlinger, som er idriftsat indenfor de seneste to år, og som ikke efterlever reglerne. Det er da ærgerligt!

Du kan læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på telefon +45 7233 2233.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *