Den seneste tids medieomtale af sagen, hvor oplysninger om brug af kreditkortoplysninger er blevet videregivet til medierne, har medført øget fokus på sikkerhed i forbindelse med behandling af personoplysninger.
Af Charlotte Bagger Tranberg, ph.d. persondataspecialist, Bech-Bruun
I 2014 sker der digital behandling af stort set alle borgernes personoplysninger i en lang række forskellige it-systemer. Teleselskaber lagrer oplysninger om, hvilke personer der kommunikerer med hinanden, og hvor de geografisk befinder sig, når de kommunikerer. Den elektroniske patientjournal indeholder oplysninger om borgernes sygdomsforløb. Arbejdsgiverne registrerer oplysninger om de ansattes lønindkomst, uddannelse og eventuelle sygemeldinger med tilhørende sygdomsforløb. Skattemyndighederne lagrer de oplysninger, som lægges til grund for beskatning af borgeren. Bankerne registrerer oplysninger om indlån, udlån og eventuelle besiddelser af værdipapirer. Oven i alle disse oplysninger, som ligger adskilte i lukkede it-systemer, afsætter de fleste borgere enorme mængder mere eller mindre offentligt tilgængelige elektroniske spor, når de bevæger sig rundt på internettet via lap tops, tablets og smart phones.
Alle de digitalt behandlede oplysninger har forskellig karakter, som spænder fra almindelige oplysninger om navn og adresse til meget private oplysninger om for eksempel helbred eller indkomst.
Når meget store mængder personlige oplysninger om borgerne lagres i mange adskilte it-systemer, er det væsentligt, at sikkerheden omkring de afgrænsede it-systemer er så høj, at oplysningerne ikke kompromitteres og eventuelt anvendes i sammenhænge og til formål, som ikke var tiltænkt oprindeligt.
Tilbage i tiden lå borgernes personlige oplysninger i fysiske sagsmapper hos forskellige virksomheder og myndigheder, og det var kun muligt at sammenstille oplysninger, hvis en konkret person skabte forbindelse mellem de oplysninger, som for eksempel var registreret hos skattemyndighederne og på hospitalet. De fysiske sagsmapper blev erstattet af elektroniske sagsmapper, som var lagret på servere hos den enkelte virksomhed eller myndighed. Digitaliseringen af sagsmapperne gjorde det lettere at søge på oplysninger i store it-systemer. I samfundet anno 2014 er personoplysninger ikke længere lagret i decentrale systemer, men i stedet hos selskaber, der er specialiserede i at ‘hoste’ oplysninger for virksomheder og myndigheder enten i servermiljøer eller i cloud-løsninger. Når mange oplysninger fra forskellige dataansvarlige er lagret hos enkelte selskaber, kan det indebære en øget sårbarhed.
Det retlige grundlag
Behandlingen af personoplysninger er reguleret i persondataloven, som er den generelle lovgivning på dette område. Persondataloven suppleres af en række særregler, for eksempel i relation til behandling af personoplysninger i telesektoren og sundhedssektoren. Persondataloven er en meget bred regulering, fordi loven som udgangspunkt omfatter al behandling af personoplysninger. Personoplysninger er alle oplysninger, som kan identificere en fysisk person direkte eller indirekte, mens behandling er alt, som man kan gøre ved en personoplysning, lige fra den indsamles til den slettes, jf. persondataloven § 3, nr. 1 og 2.
Den dataansvarlige er den virksomhed eller offentlige myndighed, som bestemmer til hvilket formål og med hvilke hjælpemidler, personoplysninger skal behandles. Den dataansvarlige kan outsource behandling af personoplysninger til databehandlere, som behandler oplysninger på den dataansvarliges vegne. Outsourcingen spænder lige fra serverdrift til egentlig behandling af oplysninger på den dataansvarliges vegne, hvor databehandleren for eksempel står for lønudbetaling eller administration af ferie.
Sikkerhedskravene i persondataloven
Persondataloven regulerer også sikkerheden i forbindelse med behandling af personoplysninger. Personer eller virksomheder, der udfører arbejde for en dataansvarlig virksomhed eller offentlig myndighed eller for en databehandler, og som i den forbindelse får adgang til personoplysninger, må kun behandle oplysningerne efter den instruks, som den dataansvarlige har givet, jf. persondataloven § 41, stk. 1.
En offentlig myndighed eller en privat virksomhed, som er ansvarlig for behandling af personoplysninger, eller som agerer som databehandler for en dataansvarlig myndighed eller virksomhed, skal træffe fornødne tekniske, organisatoriske og fysiske sikkerhedsforanstaltninger, så de personoplysninger, som behandles, ikke – hændeligt eller ulovligt – bliver tilintetgjort, fortabes eller forringes, eller kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven, jf. persondataloven § 41, stk. 3.
En teknisk sikkerhedsforanstaltning er blandt andet antivirus og firewalls, som sikrer, at uvedkommende ikke kan få adgang til it-systemer med personoplysninger. Fysisk sikkerhed er sikring af, at de bygninger og lokaler, hvori servere og andet it-udstyr er placeret, afskærmes, så alle medarbejdere eller besøgende ikke har direkte adgang til dem. Organisatoriske sikkerhedsforanstaltninger består i, at medarbejderne i den dataansvarlige myndighed eller virksomhed er instrueret i og uddannet til at håndtere behandlingen af oplysningerne i overensstemmelse med lovkravene.
Det er almindeligt anerkendt, at der ikke kan opnås 100 procent sikkerhed, selvom alle de ovenfor nævnte sikkerhedsparametre opfyldes. Det er en forudsætning, at der tilvejebringes et tilstrækkeligt sikkerhedsniveau efter en afvejning af det aktuelle tekniske niveau og omkostningerne forbundet med iværksættelsen i forhold til de risici, der er forbundet med behandlingen og arten af de beskyttede oplysninger.
Persondatalovens generelle sikkerhedskrav er for den offentlig sektors vedkommende uddybet i den såkaldte sikkerhedsbekendtgørelse med tilhørende vejledning.
Persondataloven og de private virksomheder
Der findes endnu ingen uddybning af persondatalovens generelle sikkerhedskrav for private virksomheder. Der har i flere omgange været forlydender om, at der var en sikkerhedsbekendtgørelse rettet til private dataansvarlige på vej, men det er endnu ikke sket. Datatilsynet har i flere afgørelser givet udtryk for en opfattelse af, at sikkerhedsbekendtgørelsen for offentlige myndigheder kan finde analog anvendelse for private virksomheder, fordi Datatilsynet har mulighed for at stille betingelser for private virksomheders sikkerhedsforanstaltninger (jf. persondatalovens § 59, stk. 3). Lovligheden af en analog anvendelse af den nugældende sikkerhedsbekendtgørelse i forhold til private dataansvarlige må dog anses for tvivlsom. Datatilsynet har fastsat en række krav og anbefalinger i forbindelse med overførsel af personoplysninger via internettet i den private sektor.
Den sikkerhedsbekendtgørelse, der gælder for offentligt dataansvarlige, fastsætter både en række generelle sikkerhedsbestemmelser samt nogle supplerende sikkerhedsforanstaltninger, som gælder, når der behandles fortrolige personoplysninger. De generelle sikkerhedsbestemmelser indeholder krav om, at en dataansvarlig myndighed skal fastsætte interne bestemmelser om myndighedens sikkerhedsforanstaltninger til uddybning af reglerne i sikkerhedsbekendtgørelsen. De interne sikkerhedsbestemmelser skal gennemgås mindst én gang om året, så det sikres, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Medarbejderne skal gives fornøden instruktion og gøres bekendt med de interne sikkerhedsbestemmelser. Sikkerhedsbekendtgørelsens generelle bestemmelser indeholder endvidere regler om blandt andet autorisation og adgangskontrol og om etablering af eksterne kommunikationsforbindelser, som anvendes til forsendelse af personoplysninger.
Reglerne om supplerende sikkerhedsforanstaltninger ved behandling af fortrolige oplysninger indeholder yderligere krav til autorisation og adgangskontrol, så det specifikt skal angives, i hvilket omfang en konkret medarbejder må forespørge, inddatere eller slette personoplysninger. De supplerende regler indeholder endvidere krav om, at der foretages registrering af alle afviste adgangsforsøg samt logning af al anvendelse af personoplysninger.
Når en dataansvarlig virksomhed eller myndighed outsourcer behandling af personoplysninger til en databehandler, skal den dataansvarlige sikre sig at databehandleren træffer sikkerhedsforanstaltninger svarende til dem, som gælder for den dataansvarlige selv.
Manglende krav om underretning
Generelt har virksomheder eller offentlige myndigheder, der oplever sikkerhedsbrud i forbindelse med behandling af personoplysninger, ikke pligt til at underrette Datatilsynet om bruddet. Siden 2011 har telesektoren dog været undtagelsen til dette udgangspunkt. Virksomheder, som er omfattet af den særlige telelovgivning, har pligt til at underrette Erhvervsstyrelsen.
Det følger af Datatilsynets praksis, at persondatalovens krav om god databehandlingsskik indebærer, at den dataansvarlige virksomhed eller offentlige myndighed er forpligtet til at underrette de personer, som er omfattet af sikkerhedsbruddet, men der ligger ikke heri noget krav om, at Datatilsynet skal underrettes.
Opdagelsesrisiko og sanktionsmuligheder
To forhold medfører, at de retlige konsekvenser ved manglende overholdelse af persondatalovens sikkerhedskrav er meget begrænsede. For det første er det danske datatilsyn ikke ret stort i forhold til befolkningens anvendelse af it, fordi de offentlige bevillinger er skåret ned i flere omgange de seneste år. For det andet er der ikke tradition for at udstede store bøder ved manglende overholdelse af reglerne. Persondataloven indeholder hjemmel til både bødestraf og fængsel i op til fire måneder for private og offentligt dataansvarliges manglende overholdelse af persondatalovens sikkerhedsbestemmelser, jf. § 70, stk. 1, nr. 1 og stk. 2. I forhold til offentlige myndigheder pålægger Datatilsynet ikke bøder, men udtaler kritik. I forhold til private virksomheder er den største bøde, som Datatilsynet har pålagt, på 25.000 kroner. Fra den nyeste praksis kan henvises til en afgørelse, hvor et selskabs manglende kryptering af en kontraktformular på en hjemmeside udelukkende havde den konsekvens, at Datatilsynet fandt det skete kritisabelt.
I EU er det den engelske datatilsynsmyndighed, ICO, som lige for øjeblikket går foran, når det gælder størrelsen på bøde for manglende overholdelse af de persondataretlige regler. De engelske bøder er på et helt andet niveau end de danske og ligger i mange sager mellem 80.000 og 500.000 GBP.
Hvis blikket vendes uden for EU, har to amerikanske hospitaler (7. maj 2014) netop indgået forlig i en sag om offentliggørelse af 6.800 elektroniske patientjournaler, så de blev tilgængelige på Google og andre søgemaskiner. De to hospitaler betalte en bøde på 4,8 mio. USD i forbindelse med forliget.
Fremtiden
Den kommende persondataforordning, som lige for øjeblikket er genstand for forhandlinger i forbindelse med vedtagelsen mellem EU-Kommissionen, Ministerrådet og EU-Parlamentet, indeholder mere detaljerede sikkerhedsregler, end det er tilfældet i de nugældende regler i henholdsvis persondataloven og persondatadirektivet. Forordningen forventes vedtaget omkring årsskiftet 2014-2015 med ikrafttrædelse to år efter.
Forordningsudkastet definerer ‘brud på persondatasikkerheden’ som brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet.
De sikkerhedskrav som kendes fra persondatadirektivet videreføres og suppleres med krav om risikovurderinger og krav om underretning af brud på persondatasikkerheden inden for 24 timer (sættes sandsynligvis op til 72 timer i den endelige version af forordningen), efter at den dataansvarlige er blevet bekendt med hændelsen. Den dataansvarlige skal endvidere dokumentere alle brud på persondatasikkerheden, og i særlige tilfælde skal den registrerede også underrettes.
Konsekvensen af ikke at overholde persondataforordningens regler om persondatasikkerhed bliver også mere vidtgående, end det er tilfældet i dag. En dataansvarlig, som ikke iagttager interne retningslinjer for persondatasikkerhed, eller som ikke rettidigt anmelder et brud på persondatasikkerheden til tilsynsmyndigheden, kan pålægges en administrativ bøde på op til 1.000.000 EUR (offentlig myndighed) eller to procent af den årlige globale omsætning (privat virksomhed).
EU’s institutioner arbejder endvidere med vedtagelsen af et direktiv om foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (det såkaldte NIS-direktiv). Overordnet set skal direktivet medvirke til en forbedring af sikkerheden på internettet og i de private netværk og informationssystemer, som er grundstenen i nutidens samfund. Operatører af kritisk infrastruktur, for eksempel bankvæsen, energi, transport, sundhed, internettjenester (for eksempel e-handelsplatforme og sociale medier) og offentlige myndigheder pålægges at foretage en risikovurdering og at foretage passende og forholdsmæssige foranstaltninger til at sikre net- og informationssikkerheden samt at indberette alvorlige hændelser til de nationale kompetente myndigheder. Direktivet forventes vedtaget i løbet af 2016 og skal efterfølgende implementeres i de enkelte medlemslande.
Charlotte Bagger Tranberg
Ph.d. persondataspecialist og advokat, Bech-Bruun. Charlotte rådgiver både danske og internationale virksomheder og koncerner samt offentlige myndigheder inden for persondataretten. Hun er desuden en efterspurgt oplægsholder og har en lang publikationsliste bag sig fra sin tid i universitetsverdenen.