Vejledning om

Historisk: Bekendtgørelse om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester

OBS: Vejledningen er under opdatering på grund af ændringer i lovgivningen. Læs mere om baggrunden for lovændringen.

Denne vejledning beskriver og uddyber de krav, der følger af bekendtgørelse om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

  • Version 1.0
  • Seneste opdatering 13. august 2020

1
Kapitel
Indledning

Denne vejledning beskriver og uddyber de krav, der følger af bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester (i det følgende omtalt som ”bekendtgørelsen”). Bekendtgørelsen trådte i kraft den 1. juli 2016.

Bekendtgørelsen har baggrund i direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, som også kaldes e-databeskyttelsesdirektivet (eller e-privacy-direktivet). E-databeskyttelsesdirektivet supplerer de generelle EU-regler om beskyttelse af persondata (GDPR) og fastsætter særlige regler om databeskyttelse og privatlivsbeskyttelse på området for elektronisk kommunikation.

Denne vejledning beskriver og uddyber de krav, der følger af bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester (i det følgende omtalt som ”bekendtgørelsen”). Bekendtgørelsen trådte i kraft den 1. juli 2016.

2
Kapitel
Bekendtgørelsens anvendelsesområde - Bekendtgørelsens § 1

2.1. Hvem er forpligtet i henhold til bekendtgørelsens regler?

Bekendtgørelsens regler gælder for udbydere af offentlige elektroniske kommunikationstjenester – det vil sige elektroniske kommunikationstjenester, der stilles til rådighed for en ikke på forhånd afgrænset kreds af slutbrugere eller udbydere af elektroniske kommunikationsnet eller -tjenester. Det er fx udbydere af telefoni- og internettjenester, uanset om den pågældende tjeneste udbydes via fastnet eller mobilnet.

Udbyderbegrebet er defineret i telelovens  § 2, nr. 1 (Lov om elektroniske kommunikationsnet og -tjenester, jf. lovbekendtgørelse nr. 128 af 7. februar 2014 med senere ændringer). Heraf fremgår, at en udbyder er den, som med kommercielt formål stiller produkter, elektroniske kommunikationsnet eller tjenester omfattet af denne lov til rådighed for andre.

Det er uden betydning, om de pågældende har anlagt egen infrastruktur eller baserer deres aktiviteter fuldt ud på lejet infrastrukturkapacitet.

OTT-tjenester som fx Spotify, Netflix og lignende streamingtjenester er heller ikke omfattet af bekendtgørelsens regler, da de ikke er elektroniske kommunikationstjenester. Hvis en udbyder af en elektronisk kommunikationstjeneste udbyder sådanne OTT-tjenester ved siden af sit udbud af fx en bredbåndsforbindelse eller mobilabonnement, og der sker et brud på persondatasikkerheden i relation til disse tjenester, vil det således heller ikke være omfattet af bekendtgørelsens regler, men vil efter omstændighederne skulle indberettes til Datatilsynet efter GDPR.

Energistyrelsen har udarbejdet yderligere vejledning, der præciserer, hvem der er omfattet af udbyderbegrebet.

2.2. Hvilke persondata er omfattet af bekendtgørelsen?

Lovgivningen på teleområdet indeholder ikke en definition af, hvordan begrebet persondata specifikt defineres, hvorfor et uddybende fortolkningsbidrag til specificering heraf må findes i de almindelige databeskyttelsesregler (Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-hævelse af direktiv 95/46/EF), som også kaldes GDPR.

Persondata (eller personoplysninger) defineres i databeskyttelsesforordningen (GDPR)   som enhver form for information om en identificeret eller identificerbar fysisk person. Bekendtgørelsen omfatter persondata, som behandles i forbindelse med et udbud af offentlige elektroniske kommunikationstjenester. Det omfatter eksempelvis kunders navne, kontaktoplysninger, cpr-numre, kundenumre, adgangskoder, regningsoplysninger, opkaldslister, trafikdata, indholdet af sms-beskeder, telefonsamtaler osv.

Bekendtgørelsen omfatter alene persondatasikkerhed i relation til udbyderens udbud af elektroniske kommunikationstjenester. Dette omfatter fx ikke salg af mobiltelefoner, herunder håndtering af lånetelefoner, hvis en sådan udleveres ved indlevering af en telefon til reparation. Hvis der udleveres en lånetelefon, der ikke er blevet ”renset” for tidligere låneres persondata, er det således ikke et brud på persondatasikkerheden, der er omfattet af bekendtgørelsens regler. I stedet vil det være omfattet af GDPR.

En udbyder skal derfor alene indberette til Erhvervsstyrelsen, og ikke (også) Datatilsynet, når der er tale om et brud på persondatasikkerheden, der relaterer sig til udbuddet af en offentligt tilgængelig elektronisk kommunikationstjeneste. Det omfatter fx uautoriseret adgang eller utilsigtet videregivelse af data om abonnenter, men eksempelvis ikke brud på data om udbyderens egne ansatte (HR-data o.lign.). I sidstnævnte tilfælde er det de almindelige regler efter GDPR, der gælder.

2.3. Snitflader til andre regelsæt

Der er flere regelsæt, der har snitflader til bekendtgørelsen. Nedenfor fremgår en oversigt over disse regelsæt med angivelse af, hvilken myndighed der fører tilsyn med dem.

Bekendtgørelsens titel Ansvarlig myndighed
Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (GDPR) Datatilsynet (under Justitsministeriet)
Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Databeskyttelsesloven) Datatilsynet (under Justitsministeriet)
Bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstje-nester Erhvervsstyrelsen (under Erhvervsministeriet)
Bekendtgørelse nr. 567 af 1. juni 2016 om informationssikkerhed og beredskab i net og tjenester Center for Cybersikkerhed (under Forsvarsministeriet)
Bekendtgørelse nr. 566 af 1. juni 2016 om op-lysnings- og underretningspligter vedrørende net- og informationssikkerhed Center for Cybersikkerhed (under Forsvarsministeriet)
Bekendtgørelse nr. 435 af 9. maj 2011 om nummeroplysningsdatabaser Energistyrelsen (under Energi-, Forsynings- og Klimaministeriet)
Telelovens § 31, stk. 4, om slutbrugerens ret til at kræve, at nummeroplysningsdata ikke oplyses eller videregives Energistyrelsen (under Energi-, Forsynings- og Klimaministeriet)

Forholdet mellem de forskellige regelsæt beskrives nærmere nedenfor i afsnit 2.3.1 - 2.3.3.

2.3.1 Forholdet til de generelle regler om beskyttelse af persondata

Databeskyttelsesforordningen (GDPR) indeholder de generelle regler om beskyttelse af persondata.  Forordningen indeholder regler om behandling af personoplysninger, om registreredes rettigheder, behandlingssikkerhed m.m. og gælder på tværs af offentlige og private sektorer. Databeskyttelsesloven (lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger)  indeholder regler, der supplerer databeskyttelsesforordningen. Det er Datatilsynet, der er tilsynsmyndighed i forhold til forordningen og databeskyttelsesloven.

Reglerne om behandling af persondata i den elektroniske kommunikationssektor (herunder bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester) er såkaldt sektorspecifikke regler, der specificerer og supplerer de generelle regler om beskyttelse af persondata.

Udbydere af elektroniske kommunikationstjenester, der er omfattet af bekendtgørelsen om persondatasikkerhed i forbindelse med udbud af elektroniske kommunikationstjenester, skal således være opmærksomme på, at der er regler i den generelle persondatalovgivning, som de også skal følge. Det gælder fx udbydernes behandling af persondata, der vedrører deres medarbejdere, eller udbydernes pligt til at give deres kunder indsigt i de oplysninger, udbyderne har registeret om kunden.

Sker der fx et brud i forbindelse med teleselskabers oprettelse af kunder, hvor en mailadresse tastes forkert, hvorefter en ordrebekræftelse sendes til tredjepart, skal dette brud alene indberettes til Erhvervsstyrelsen. Sker der en hændelse, der fx vedrører eksponering af HR-data, skal dette alene ind-berettes til Datatilsynet.

Erhvervsstyrelsen og Datatilsynet koordinerer løbende deres arbejde med de to regelsæt og vejleder udbydere om reglerne og deres anvendelsesområde.

2.3.2 Forholdet til reglerne om informationssikkerhed

Lov om net- og informationssikkerhed (lov nr. 1567 af 15. december 2015) indeholder hjemmel for Center for Cybersikkerhed til at fastsætte regler om minimumskrav til informations-sikkerhed for udbydere af offentligt tilgængelige net og tjenester (definitionen af ”offentligt tilgængelige net og tjenester”, der anvendes i lov om net- og informationssikkerhed samt bekendtgørelser udstedt i medfør heraf, svarer til definitionen af såvel ”offentlige elektroniske kommunikationsnet” i telelovens § 2, nr. 5, som ”offentlige elektroniske kommunikationstjenester” i telelovens § 2, nr. 8).

I medfør heraf er der bl.a. fastsat regler om, at udbydere af offentlige elektroniske kommunikationsnet og -tjenester på baggrund af en risikovurdering skal implementere passende foranstaltninger til sikring af tilgængelighed, integritet og fortrolighed i net og tjenester samt sikre, at tredjepart opretholder en tilsvarende sikkerhed i forhold til driftsleverancer til udbyderne (jf. bekendtgørelse nr. 567 af 1. juni 2016 om informationssikkerhed og beredskab i net og tjenester).

I medfør af lov om net- og informationssikkerhed har Center for Cyber-sikkerhed endvidere fastsat regler om underretning til Center for Cybersikkerhed om brud på informationssikkerheden (jf. bekendtgørelse nr. 566 af 1. juni 2016 om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed).

Reglerne om net- og informationssikkerhed vedrører tilgængelighed, integritet og fortrolighed i offentligt tilgængelige net og tjenester, mens bekendtgørelsen alene vedrører persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester. Der kan være situationer, hvor begge regelsæt skal iagttages, fx fordi en hændelse både kan udgøre et brud på persondatasikkerheden og et brud på informationssikkerheden. Tilsvarende kan en given sikkerhedsforanstaltning være relevant for såvel informations- som persondatasikkerheden. Men der er også situationer, som kun er omfattet af enten det ene eller det andet regelsæt.

Erhvervsstyrelsen og Center for Cybersikkerhed koordinerer løbende deres arbejde med de to regelsæt og vejleder udbydere om reglerne og deres anvendelsesområde.

2.3.3 Andre regler på teleområdet om behandling af persondata

Bekendtgørelsen om nummeroplysningsdatabaser (bekendtgørelse nr. 435 af 9. maj 2011), der administreres af Energistyrelsen, regulerer krav til indsamling og videregivelse m.v. af nummeroplysningsdata (fx navn, adresse, og telefonnummer) mellem et teleselskab og en udbyder af en nummeroplysningstjeneste. Bekendtgørelsen indeholder endvidere regler om slutbrugeres rettigheder i forhold til at kontrollere og få rettet nummeroplysningsdata.

Telelovens § 31, stk. 4, beskriver slutbrugers rettigheder i forbindelse med eksponering af nummeroplysningsdata på nummeroplysningstjenester. Det fremgår af bestemmelsen, at en slutbruger kan kræve, at dennes nummeroplysningsdata ikke oplyses i forbindelse med udbud af nummeroplysningstjenester eller må videregives til andre (en række undtagelser findes dog i § 31, stk. 5).

Erhvervsstyrelsen og Energistyrelsen koordinerer løbende deres arbejde med de to regelsæt og vejleder udbydere om reglerne og deres anvendelsesområde.

Telelovgivningen indeholder også andre regler af relevans for behandling af persondata på teleområdet, herunder særligt §§ 20-24 i bekendtgørelse om udbud af elektroniske kommunikationsnet og -tjenester (bekendtgørelse nr. 715 af 23. juni 2011) om fx behandling af trafik- og lokaliseringsdata samt telelovens § 7 om hemmeligholdelse af oplysninger i forbindelse med udbud af elektroniske kommunikationsnet og -tjenester. Det er Erhvervsstyrelsen, der er tilsynsmyndighed for disse regler.

3
Kapitel
Risikostyring - Bekendtgørelsens § 3

Efter bekendtgørelsens § 3 skal udbydere af offentlige elektroniske kommunikationstjenester løbende træffe passende tekniske og organisatoriske foranstaltninger med henblik på at styre risici for persondatasikkerheden i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

Det fremgår specifikt af bekendtgørelsens § 3, stk. 2, at de foranstaltninger, der skal træffes, som minimum skal

  1. sikre, at kun autoriserede personer får adgang til persondata til lovlige formål,
  2. beskytte lagrede eller sendte persondata mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse, og
  3. gennemføre en sikkerhedspolitik for persondatasikkerheden i forbindelse med udbud af elektroniske kommunikationstjenester.

Pligten til at træffe passende foranstaltninger som nævnt i bestemmelsen påhviler udbydere af offentlige elektroniske kommunikationstjenester. Hvis det er nødvendigt for at leve op til de forpligtelser, der følger af bekendtgørelsen, må udbyderen af den offentlige elektroniske kommunikationstjeneste samarbejde med den udbyder, der leverer det underliggende elektroniske kommunikationsnet (infrastrukturen).

3.1. Hvad kan "passende" foranstaltninger være?

De foranstaltninger, der skal træffes, skal sikre et sikkerhedsniveau, der under hensyn til teknologiens aktuelle stade og omkostningerne i forbindelse med gennemførelsen af foranstaltningerne, står i forhold til risici” (jf. bekendtgørelsens § 3, stk. 1, 2. pkt). En ”passende” foranstaltning er altså en foranstaltning, der er proportional i forhold til de risici, som den skal sikre imod under hensyntagen til den teknologiske udvikling.

Det er ikke krav, at man har implementeret de nyeste og bedste sikkerhedsteknologier til beskyttelse af persondata, men man skal løbende evaluere og revurdere sine sikkerhedsforanstaltninger i takt med den teknologiske udvikling.

Det er op til den enkelte udbyder af offentlige elektroniske kommunikationstjenester at beslutte, hvordan man konkret vil indrette sig for at leve op til bekendtgørelsens krav. Den internationale standard ISO27001 om informationssikkerhed giver en generelt dækkende vejledning om etablering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger, der også dækker det område, bekendtgørelsen regulerer. Det er ikke et krav, at man skal være certificeret efter ISO27001-standarden eller tilsvarende standarder, men det kan være en god idé at følge principperne i denne eller tilsvarende standarder for it-sikkerhed.

Kravet om at træffe ”passende foranstaltninger” indebærer, at man tilrettelægger og organiserer sine sikkerhedsforanstaltninger, så de er tilpasset karakteren af de persondata, der er tale om, og den skade, der kan opstå, hvis der sker et brud på sikkerheden. Hvis data fx opbevares i krypteret form, er risikoen for indsigt i personlige forhold reduceret, og eventuelle foranstaltninger tager i den situation udgangspunkt i en vurdering af risikoen for, at uvedkommende kan dekryptere data.

For at kunne beslutte, hvilke foranstaltninger det konkret er nødvendigt at gennemføre, kan det være hensigtsmæssigt at foretage en risikovurdering med udgangspunkt i følgende:

  • Skab et overblik over de persondata, man har, og som man behandler i forbindelse med udbuddet af offentlige elektroniske kommunikationstjenester.
  • Hvad er de potentielle trusler? Hvordan ser risikobilledet ud?
  • Karakteren og omfanget af organisationens lokaliteter og it-systemer.
  • I hvilken grad medarbejderne har adgang til persondata.
  • Hvilke persondata, der behandles af tredjeparter på ens vegne.

De sikkerhedsforanstaltninger, det kan være relevant at træffe på baggrund af risikovurderingen, kan groft sagt opdeles i:

  1. Ledelsesmæssige og organisatoriske foranstaltninger.
  2. Foranstaltninger i forhold til medarbejdere.
  3. Foranstaltninger i forhold til tredjeparters behandling af data.
  4. Foranstaltninger i forhold til adgang til systemer.
  5. Foranstaltninger i forhold til fysisk sikkerhed.
  6. Foranstaltninger i forhold til it-systemers sikkerhed.

Som nævnt i afsnit 2.3.2 er der i medfør af lov om net- og informations-sikkerhed, der administreres af Center for Cybersikkerhed, bl.a. fastsat regler om, at udbydere af offentlige elektroniske kommunikationsnet og -tjenester på baggrund af en risikovurdering skal implementere passende foranstaltninger til sikring af tilgængelighed, integritet og fortrolighed i net og tjenester. De foranstaltninger, der skal gennemføres for at efterleve disse regler, vil i et vist omfang være sammenfaldende med de foranstaltninger, der efter bekendtgørelsen skal træffes for at styre risici for persondatasikkerheden. For udbydere, der er omfattet af reglerne om net- og informationssikkerhed, vil det derfor være relevant at sammentænke implementeringen af de krav, der stilles efter de to regelsæt.

3.1.1 Ledelsesmæssige og organisatoriske foranstaltninger

Der bør fra ledelsens side i selskaberne være et øget fokus på at skabe opmærksomhed om persondatasikkerhed i hele organisationen - fra ledelsen til kundeservicemedarbejderne og hos eventuelle eksterne databehandlere - så evt. brud på persondatasikkerheden bliver identificeret og indberettet til Erhvervsstyrelsen. Derudover bør der skabes en positiv indberetningskultur i organisationen og sikres et hurtigt beredskab i organisationen, så brud på persondatasikkerheden bliver indberettet til Erhvervsstyrelsen inden for 24 timer.

Det er vigtigt at have klarhed over, hvem der i ens organisation er ansvarlig for sikkerheden i forbindelse med beskyttelse af persondata. Fx kan det være en god idé at udpege en person eller en afdeling i organisationen som dag-til-dag-ansvarlig for sikkerheden, som har den nødvendige autoritet og de nødvendige ressourcer til at varetage de opgaver, der følger med ansvaret.

En vigtig opgave i denne sammenhæng er at udarbejde en sikkerhedspolitik. Det fremgår direkte af bekendtgørelsen, at udbydere af offentlige elektroniske kommunikationstjenester skal have en sikkerhedspolitik for persondatasikkerheden i forbindelse med udbud af offentlige elektroniske kommunikationstjenester, jf. bekendtgørelsens § 3, stk. 2, nr. 3.

Bekendtgørelsen indeholder ikke specifikke krav til, hvordan sikkerhedspolitikken skal udformes. For at sikre, at sikkerhedspolitikken er tidssvarende, bør den revideres løbende og opdateres ved behov.

3.1.2 Foranstaltninger i forhold til medarbjdere

Det er vigtigt, at medarbejdere, som håndterer persondata, forstår vigtigheden af at beskytte persondata, og at de er bekendt med organisationens sikkerhedspolitik. Dette kan fx sikres ved løbende at give medarbejderne i hele organisationen relevant instruktion og uddannelse. Formålet er, at viden om sikkerhedsforanstaltninger mv. er forankret hos medarbejderne.

Fx bør medarbejderne, herunder ansatte i butikker, der handler på udbyderens vegne, være opmærksomme på risikoen for, at uvedkommende forsøger at få adgang til en kundes persondata eller ændre oplysninger om en kundes abonnementsforhold (eksempelvis ved at udgive sig for at være den person, oplysningerne vedrører). Og ikke mindst bør de instrueres i, hvordan de forhindrer, at dette sker (fx ved at anvende særlige processer til autentifikation af kunderne). Ligeledes bør medarbejdere, der har kundekontakt være opmærksomme på risikoen for manuelle fejl som tastefejl, der fx vedrører fejltastning af nummer, e-mail eller CPR-nummer. Fejltastning kan medføre, at en mail eller sms, der indeholder persondata sendes til en forkert modtager. CPR-numre, der tastes forkert ved oprettelse af et kundeforhold, kan medføre, at en kontrakt indeholder forkert navn og adresse.

Særligt bør selskaberne overveje at fastsætte løsninger, der sikrer, at persondata kun anvendes, når det er absolut nødvendigt, og som sikrer, at der ikke sker fejlagtig behandling af kundernes persondata. Det kan eksempelvis ske ved at implementere løsninger, hvor kundeservicemedarbejdere kun kan have ét ”systemvindue” åbent ad gangen, da man derved kan minimere risikoen for, at data testes forkert eller kunders data blandes sammen.

Ydermere kan man med fordel overveje at implementere retningslinjer i virksomheden, som minimerer de ansattes anvendelse af ”post-its” (både fysiske og virtuelle). Årsagen hertil er, at post-its ofte fører til, at data noteres på forkerte kundeforhold. Derudover anbefales det, at selskaberne etablerer retningslinjer, hvor medarbejderne ved telefonopkald med kunden, i videst muligt omfang, opfordrer eller guider kunden til at anvende selvbetjeningsløsningen, så kunden selv indtaster sine data. Derved minimeres risikoen for, at kundeservicemedarbejderne fejltaster kunders data.

Selskaberne bør ligeledes instruere medarbejderne i altid at overveje, hvilke persondata, der er nødvendige at have med, når der skal skrives til kunderne. Sendes der eksempelvis en sms om opdateringer eller lignende, kan dette gøres med et ”Hej” i stedet for navn i sms’en.

Et andet eksempel er instruktion til medarbejdere om brug af it-udstyr med henblik på at undgå virus og lignende.

Det vil ligeledes være relevant at sikre, at medarbejdere, der har adgang til persondata, underlægges tavshedspligt. Det følger af § 7 i lov om elektroniske kommunikationsnet og -tjenester, at 1) udbydere af elektroniske kommunikationsnet eller -tjenester og deres ansatte og tidligere ansatte ikke uberettiget må videregive eller udnytte oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf, som de får kendskab til i forbindelse med det pågældende udbud af elektroniske kommunikationsnet eller -tjenester, og 2) at udbyderne skal træffe de foranstaltninger, der er nødvendige for at sikre, at oplysninger om andres brug af nettet eller tjenesten eller indholdet heraf ikke er tilgængelig for uvedkommende.

3.1.3 Foranstaltninger i forhold til behandling af data

Det er altid udbyderen af offentlige elektroniske kommunikationstjenester, der har ansvaret for at beskytte de persondata, udbyderen er ansvarlig for efter de almindelige regler om persondatabeskyttelse.

Det er derfor vigtigt, at udbyderen gennem aftale sikrer, at bekendtgørelsens krav bliver overholdt, hvis udbyderen benytter sig af eksterne samarbejdsparter (tredjeparter), som har adgang til persondata, som udbyderen er ansvarlig for.  Det kan eksempelvis være tilfældet ved outsourcing. Sikring kan fx ske ved, at tredjeparten i en databehandleraftale bekræfter at have et sikkerhedsniveau, der lever op til bekendtgørelsens krav, samt at der indgås fortrolighedserklæringer.

3.1.4 Foranstaltninger i forhold til adgang til systemer

Det vil være en passende foranstaltning at sikre,

  • at kun personer, der er godkendt til det, kan tilgå, ændre, videregive og slette persondata, og
  • at de personer, der er godkendt, kun handler inden for rammerne af deres godkendelse.

Der bør derfor fastlægges procedurer for godkendelser, således at det fx er klart, hvem der har ansvaret for godkendelser, hvem der kan godkendes til hvad, hvordan det sikres, at kun personer, der er godkendt, kan få adgang til persondata, hvornår og hvordan godkendelsen skal tilbagekaldes osv.

Ovenstående indebærer bl.a.,

  • at der kun gives godkendelse til medarbejdere, som beskæftiger sig med opgaver, hvor det er nødvendigt at have adgang til de pågældende persondata, og at godkendelsen begrænses til, hvad der er nødvendigt,
  • at medarbejderne er orienteret om, hvilke persondata vedkommende er godkendt til at anvende,
  • at godkendelsen inddrages, når den pågældende medarbejder ikke længere har behov for at kunne få adgang til de omhandlede persondata,
  • at der er teknisk adgangskontrol til de relevante systemer, således at de medarbejdere, der er godkendt, skal identificere sig over for systemet for at få adgang (fx via brugernavn og password),
  • at der er retningslinjer for behandling og opbygning af password, hvis disse benyttes som adgangskontrol, herunder hvor hyppigt de skal ændres, og
  • at det logges, hvem der tilgår persondata i systemerne.

Det kan også være nødvendigt at anvende principperne for godkendelse over for personer, der midlertidigt skal have adgang til persondata – fx i forbindelse med teknisk vedligeholdelse, driftsovervågning og fejlretning. I så fald er det vigtigt at sørge for, at der kun gives godkendelse til de formål og den tid, der er nødvendige.

3.1.5 Foranstaltninger i forhold til fysisk sikkerhed

Fysisk sikkerhed handler i denne sammenhæng om, at der træffes forholdsregler for at forhindre, at uvedkommende får adgang til persondata på steder, hvor sådanne data behandles. Foranstaltningerne kan bl.a. omfatte

  • sikring af døre og låse,
  • alarmer og overvågning,
  • adgangskontrol til organisationens lokaliteter for såvel medarbejdere som gæster,
  • håndtering af papiraffald,
  • begrænset adgang til serverrum,
  • placering af skærme og printere, og
  • sikring af bærbart udstyr - fx ved hjælp af kryptering.

Under denne kategori af foranstaltninger hører også foranstaltninger i forbindelse med reparation/service og afskaffelse af udstyr, hvor der er lagret persondata. Hvis ikke persondata (kan) fjernes fra udstyret, inden det gøres klar til reparation eller service, kan foranstaltningerne gå ud på at sikre, at det personale, der står for dette arbejde, behandler evt. persondata, som de måtte blive bekendt med, fortroligt og ikke videregiver data til andre, eller at lagrede data på udstyr, der skal bortskaffes, slettes, så de ikke længere kan læses og genskabes.

3.1.6 Foranstaltninger i forhold til it-systemers sikkerhed

Sikkerhed i forhold til it-systemer ændrer sig hele tiden og er meget komplekst. Grundlæggende handler det om, at sikkerhedsforanstaltningerne - ud fra en afvejning også af de omkostningsmæssige aspekter - er tilpasset organisationens systemer, den teknologiske udvikling og ikke mindst de identificerede risici og trusler, jf. ovenfor.

Foranstaltninger i forhold til it-systemers sikkerhed handler bl.a. om,

  • løbende at træffes foranstaltninger for at forhindre, at de it-systemer, der indeholder eller giver adgang til persondata, er udsat for angreb af skadevoldende programmer (virus m.v.),
  • at træffe foranstaltninger for at sikre, at der ved brug af hjemmearbejdspladser ikke sker kompromittering af persondatasikkerheden,
  • at træffe foranstaltninger, der sikrer, at persondata kan genskabes, hvis de fortabes, ændres eller ødelægges - fx ved at foretage sikkerhedskopiering (back up) efter nærmere fastlagte rutiner, og
  • kryptering af fortrolige data.

Det er endvidere centralt, at it-supportere og systemteknikere har en forståelse for beskyttelse af persondata, således der fx ved migreringer af data til nye it-systemer er fokus på håndteringen af persondata og beskyttelsen heraf, så det undgås at persondata ikke overføres korrekt fx på grund af fejl i indstillinger, design, kode eller kompatibilitet.

I forlængelse af dette kan det anbefales, at selskaberne fastlægger retningslinjer omkring gennemførelse af grundige test i forbindelse med ændringer i it-systemer og migrering af data forud for lanceringen af systemændringerne, så brud på persondatasikkerheden kan undgås. Overordnet set bør virksomhederne få implementeret processer, der har fokus på databeskyttelse i hele udviklings- og testforløbet af migreringer af systemer og/eller udvikling af nye systemer

4
Kapitel
Underretning om brud på persondatasikkerheden - Bekendtgørelsens § 5 og EU-forordning 611/2013 af 24. juni 2013

Telesektorens underretninger om brud på persondatasikkerheden sker efter en fast procedure, som er beskrevet i Kommissionens forordning (EU) Nr. 611/2013 af 24. juni 2013 om de foranstaltninger, der skal anvendes ved underretningen om brud på persondatasikkerheden, jf. Europa-Parlamentets og Rådets direktiv 2002/58/EF vedrørende databeskyttelse inden for elektronisk kommunikation.

4.1. Hvad er brud på persondatasikkerheden?

Ved et brud på persondatasikkerheden forstås i denne sammenhæng et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af en offentlig elektronisk kommunikationstjeneste, jf. bekendtgørelsens § 2.

Rent teknisk kan der ske et brud på persondatasikkerheden, når udbyderens system ikke er tilstrækkelig sikret, så udefrakommende får adgang til persondata (fx hacking). Det kan imidlertid også være udbyderens egen håndtering af persondata, der kan forårsage et brud, fx hvis udbyderen ubeføjet videregiver eller ændrer persondata eller ulovligt eller hændeligt (fx pga. brand eller oversvømmelse) tilintetgør persondata. Følgende er eksempler på brud på persondatasikkerheden:

  1. Andre personer end den eller de personer hos udbyderen, der er autoriseret til det, får (uautoriseret) adgang til persondata. Det kan både være personer uden for eller inden for udbyderens organisation fx som følge af:
    1. Hacking af systemer, så uvedkommende får indsigt i persondata.
    2. Manglende eller utilstrækkelige intern adgangsstyring til systemer, der resulterer i, at en eller flere uvedkommende får uberettiget adgang til abonnenters persondata.
    3. Fejl i systemopsætning, der fx medfører, at persondata fejlagtigt sendes til uvedkommende, eller at flere i koncernen end nødvendigt får adgang til persondata
  2. Udbyderens (autoriserede) medarbejdere ændrer eller sletter persondata ved et uheld.
  3. Udbyderens medarbejdere videregiver ubevidst eller bevidst person-data om en abonnent til en anden abonnent eller anden person.

 

  1. Andre personer end den eller de personer hos udbyderen, der er autoriseret til det, får (uautoriseret) adgang til persondata. Det kan både være personer uden for eller inden for udbyderens organisation fx som følge af:
    a: Hacking af systemer, så uvedkommende får indsigt i persondata.
    b: Manglende eller utilstrækkelige intern adgangsstyring til systemer, der resulterer i, at en eller flere uvedkommende får uberettiget adgang til abonnenters persondata.
    c: Fejl i systemopsætning, der fx medfører, at persondata fejlagtigt sendes til uvedkommende, eller at flere i koncernen end nødvendigt får adgang til persondata
  2. Udbyderens (autoriserede) medarbejdere ændrer eller sletter persondata ved et uheld.
  3. Udbyderens medarbejdere videregiver ubevidst eller bevidst person-data om en abonnent til en anden abonnent eller anden person.
     

Der er ikke tale om et brud på persondatasikkerheden, som skal indberettes til Erhvervsstyrelsen, hvis bruddet på persondatasikkerheden ikke sker på grund af fejl eller utilstrækkelige foranstaltninger, som udbyderen af den elektroniske kommunikationstjeneste er ansvarlig for. Følgende er eksempler herpå:

  1. Hvis en udbyder sender et korrekt adresseret brev til en kunde, men brevet bliver leveret til en forkert modtager, er der ikke tale om et brud hos udbyderen, men hos postleverandøren.
  2. Hvis en kunde taster sin e-mail forkert, så en ordrebekræftelse sendes til en forkert e-mailadresse, er dette ikke et brud på persondatasikkerheden hos udbyderen af den elektroniske kommunikationstjeneste. 
  3. Direkte markedsføring, der sker i strid med markedsføringslovgivningens regler – fx fordi der ikke er indhentet nødvendigt samtykke - er ikke et brud på persondatasikkerheden, men vil skulle vurderes efter markedsføringslovgivningens regler, som henhører under Forbrugerombudsmandens kompetence.

4.2. Underretningskravene

Ifølge forordningen skal udbydere af offentlige elektroniske kommunikationstjenester

  1. underrette den kompetente nationale myndighed om samtlige brud på persondatasikkerheden (forordningens artikel 2) og
  2. underrette en abonnent eller en evt. berørt fysisk person, hvis bruddet på persondatasikkerheden kan forventes at krænke persondata eller privatlivets fred for abonnenten eller den fysiske per-son (forordningens artikel 3)

4.2.1 Underretning af den kompetente nationale myndighed

Det fremgår af bekendtgørelsens § 5, stk. 1, at den underretning, der skal ske efter forordningens artikel 2, skal ske til Erhvervsstyrelsen, som således er den kompetente danske myndighed efter forordningen.

En underretning om brud på persondatasikkerheden til Erhvervsstyrelsen skal overholde den procedure, som fremgår af artikel 2 i forordningen.  Proceduren indebærer bl.a. følgende:

  • Udbyderen skal indberette alle brud på persondatasikkerheden til Erhvervsstyrelsen
  • Indberetningen skal ske senest 24 timer efter, at bruddet er påvist , når dette er praktisk muligt. Udbyderen skal i sin indberetning til Erhvervsstyrelsen vedlægge de oplysninger, der er angivet i forordningens bilag I.
    • Et brud på persondatasikkerheden anses for at være påvist, hvis en udbyder har opnået tilstrækkeligt kendskab til, at en sikkerhedshændelse er indtruffet, og at den har kompromitteret persondatasikkerheden, så der kan afgives en hensigtsmæssig underretning til myndigheden, jf. forordningens art. 2, stk. 2, 3. pkt.
    • Efter forordningens betragtning 8 vil en simpel formodning om, at et brud på persondatasikkerheden har fundet sted, eller en simpel påvisning af en hændelse ikke være tilstrækkeligt, til at anse et brud på persondatasikkerheden for at være påvist i forordningens forstand. Bruddet er således ikke påvist, hvis de oplysninger, der er til rådighed for udbyderen, er utilstrækkelige til at fastslå dette, selvom udbyderen gør sit bedste for at skabe afklaring. I vurderingen af om et brud er påvist, skal der tages særligt hensyn til, om de oplysninger, der er nævnt i forordningens bilag I, står til rådighed for udbyderen, fx oplysninger om omstændighederne ved bruddet på persondatasikkerheden (fx bortkomst, tyveri eller kopiering).
  • Udbyderen må foretage en indledende indberetning senest 24 timer efter påvisning af bruddet på persondatabeskyttelsen, hvis ikke alle de oplysninger, der fremgår af forordningens bilag I, foreligger, og der er behov for yderligere efterforskning af bruddet på persondatasikkerheden. Den indledende indberetning skal indeholde de oplysninger, der er anført i forordningens bilag I, afdeling 1.
  • Udbyderen skal foretage en anden indberetning så hurtigt som muligt og senest tre dage efter den indledende indberetning. Denne anden indberetning skal indeholde de oplysninger, der er anført i forordningens bilag I, afdeling 2, og om nødvendigt ajourføre de oplysninger, der allerede er afgivet.
  • Hvis udbyderen på trods af sin efterforskning ikke er i stand til at forelægge alle oplysninger senest tre dage efter den indledende ind-beretning, skal udbyderen afgive alle de oplysninger, udbyderen har til rådighed, inden for denne tidsfrist og forelægge Erhvervsstyrelsen en begrundelse for den forsinkede indberetning. Udbyderen forelægger hurtigst muligt de resterende oplysninger og ajourfører om nødvendigt de oplysninger, der allerede er afgivet.

Efter forordningens artikel 2, stk. 4, skal der stilles sikre elektroniske midler til rådighed til brug for udbyderes indberetning om brud på persondatasikkerheden. I Danmark er dette krav implementeret, ved at udbydere af elektroniske kommunikationstjenester via portalen Virk kan indberette brud på persondatasikkerheden til Erhvervsstyrelsen.

4.3. Underretning af abonnenter eller fysiske personer

Efter forordningens artikel 3 skal udbydere af offentlige elektroniske kommunikationstjenester underrette abonnenter eller fysiske personer, hvis bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred. Forordningens artikel 3, stk. 2, indeholder nærmere bestemmelser om, hvad der skal tages i betragtning ved vurderingen af, om dette er tilfældet. Art. 3, stk. 2, nævner bl.a. karakteren og indholdet af de pågældende persondata (fx finansielle oplysninger, særlige personfølsomme oplysninger, lokaliseringsdata, internetlogfiler, browserhistorik, e-maildata og udspecificerede opkaldslister), de sandsynlige følger af bruddet (fx om bruddet kan medføre identitetstyveri, fysisk skade eller psykologisk forstyrrelse og omstændighederne ved bruddet på persondatasikkerheden (fx hvis udbyderen er bekendt med, at de omhandlede data er i en uautoriseret tredjemands besiddelse).

Forordningen fastsætter ikke – som ved underretning til myndigheden – et eksakt krav til, hvornår underretning til abonnenter eller fysiske personer skal ske rent tidsmæssigt. Underretningen skal ske uden unødig forsinkelse, efter at bruddet er påvist, og må ikke afhænge af underretningen til myndigheden (Erhvervsstyrelsen). I særlige tilfælde kan underretningen af abonnenten eller den fysiske person udskydes, hvis underretningen kan bringe en nødvendig undersøgelse af bruddet på persondatasikkerheden i fare. Det kan være en strafferetlig efterforskning, men også situationer, hvor det kan være hensigtsmæssigt at udskyde underretningen fx for at kunne fjerne evt. persondata fra internettet.

Hvis man som udbyder er i tvivl om, hvornår underretning skal ske, kan man kontakte Erhvervsstyrelsen herom jf. forordningens betragtning 13.

Det beror altid på en konkret vurdering af de specifikke omstændigheder, hvorvidt kunden skal underrettes eller ej, da skadevirkningerne kan af-hænge af kundens eventuelle særlige forhold.

Forordningens bilag II fastlægger, hvilke oplysninger der skal være indeholdt i en underretning af en abonnent eller en fysisk person, og det fremgår af artikel 3, stk. 4, at underretningen skal være udtrykt i et klart og letforståeligt sprog. Udbyderne må desuden ikke bruge underretningen til at fremme eller reklamere for nye eller supplerende tjenester.

Udbyderen skal underrette abonnenten eller den fysiske person om bruddet på persondatasikkerheden med kommunikationsmidler, som sikrer en hurtig modtagelse af oplysningerne, og som er sikret i overensstemmelse med aktuelle teknikker, jf. forordningens artikel 3, stk. 6. Oplysningerne om bruddet skal stå alene og må ikke gives sammen med oplysninger om andre emner. Det fremgår således af betragtning 15 til forordningen, at fx en faktura heller ikke betragtes som et velegnet middel til at underrette om et sikkerhedsbrud.

Udgangspunktet er, at abonnenter og fysiske personer skal underrettes direkte og individuelt. Særligt i forhold til underretning af evt. berørte fysiske personer, der ikke er en given udbyders abonnenter, og som udbyderen derfor ikke har et aftaleforhold med og dermed heller ikke kontaktoplysninger om, fremgår det dog af artikel 3, stk. 7, at udbyderen kan underrette disse personer gennem annoncer i større nationale eller regionale (trykte eller elektroniske) medier i de relevante medlemsstater inden for tidsfristen. I dette tilfælde skal udbyderen videreføre rimelige bestræbelser på at identificere de pågældende fysiske personer og i givet fald hurtigst muligt underrette dem direkte efterfølgende.

4.4. Undtagelser til underretningspligten

Artikel 4 i forordningen indeholder en undtagelse til kravet om underretning af abonnenter eller fysiske personer. En udbyder kan således undlade at underrette berørte abonnenter eller fysiske personer om et brud på persondatasikkerheden, hvis den kompetente nationale myndighed (Erhvervsstyrelsen) finder det godtgjort fra udbyderens side, at denne har gennemført passende tekniske beskyttelsesforanstaltninger (fx i form af kryptering el.lign.), og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre data uforståelige for alle, der ikke har lovlig adgang hertil.

5
Kapitel
Information til brugere ved særlig risiko for brud på persondatasikkerheden – Bekendtgørelsens § 4

Hvis der er særlig risiko for brud på persondatasikkerheden, skal udbydere af offentlige elektroniske kommunikationstjenester informere deres slut-brugere herom, jf. bekendtgørelsens § 4.

Som det fremgår nedenfor, skal udbyderne i visse tilfælde underrette slutbrugere og fysiske personer om brud på persondatasikkerheden. Til forskel herfra vedrører bestemmelsen i § 4 den situation, hvor der (endnu) ikke er sket et sikkerhedsbrud, men hvor udbyderen ved, at der er en særlig risiko herfor.

Det er særligt vigtigt, at udbyderne informerer slutbrugerne om sikkerhedsrisici, som udbyderen ikke selv har mulighed for at afhjælpe. Det fremgår således af bekendtgørelsens § 4, at hvis den særlige risiko ligger uden for de foranstaltninger, der skal træffes af udbyderen efter bekendtgørelsen, så skal udbyderen informere slutbrugerne om, hvordan hændelsen i givet fald kan forebygges, og hvilke omkostninger der sandsynligvis vil være forbundet hermed.  Det betyder med andre ord, at hvis en udbyder bliver bekendt med en særlig risiko for brud på persondatasikkerheden, som kan have betydning for udbyderens kunder, men som udbyderen ikke selv kan sikre imod, så skal udbyderen informere kunderne om risikoen og om, hvad kunderne selv kan gøre for at forebygge, at deres data kompromitteres. Det kan fx dreje sig om information om risiko for virusangreb, phishing og hacking, og hvordan brugerne kan sikre deres kommunikation ved at anvende bestemte typer software (fx anti-virus og firewall-programmer), krypteringsteknologier eller ved at skifte passwords mv., der bruges til log-in, foretage sikkerhedskopiering (back up) af data, løbende opdatere styresystemer og mailprogrammer mv.

Kravet om at underrette slutbrugere om særlige sikkerhedsrisici fritager ikke udbyderne for pligten til – for egen regning – at træffe passende foranstaltninger til at forebygge nye uforudsete sikkerhedsrisici og genoprette det normale sikkerhedsniveau, jf. bekendtgørelsens § 3.

6
Kapitel
Optegnelse over brud på persondatasikkerheden - Bekendtgørelsens § 6

Det følger af bekendtgørelsens § 6, at udbydere af offentlige elektroniske kommunikationstjenester skal føre optegnelser over brud på persondatasikkerheden. Disse optegnelser skal indeholde oplysninger om omstændighederne ved bruddene, deres virkninger og de afhjælpende foranstaltninger, der er truffet.  Optegnelserne skal være så detaljerede, at Erhvervsstyrelsen som led i sit tilsyn kan føre kontrol med overholdelsen af forordningens underretningskrav.

Det fremgår af betragtning 58 til den ændring af e-databeskyttelsesdirektivet, der blev gennemført i 2009, at formålet med kravet om at føre optegnelser over brud er at give de kompetente nationale myndigheder mulighed for at foretage yderligere analyser og evalueringer over trufne foranstaltninger og for at kunne videreformidle bedste praksis blandt udbydere. Erhvervsstyrelsen vil selv ligge inde med oplysninger vedrørende de brud, udbyderne har indberettet.

7
Kapitel
Tilsyn - Bekendtgørelsens §§ 7-9

Erhvervsstyrelsen fører tilsyn med, at udbydere af offentlige elektroniske kommunikationstjenester overholder de forpligtelser, de er pålagt efter bekendtgørelsen. Styrelsen kan i den forbindelse påbyde en udbyder at gennemføre tiltag, som styrelsen vurderer, er nødvendige for at sikre, at kravene om passende tekniske og organisatoriske foranstaltninger er overholdt. Erhvervsstyrelsen vil i den forbindelse skulle iagttage almindelige principper om proportionalitet og vil kun kunne påbyde at gennemføre foranstaltninger, der er nødvendige for at leve op til formålet med bekendtgørelsens krav.

Styrelsen fører også tilsyn med, at udbydere af offentlige elektroniske kommunikationstjenester overholder kravene om underretning om brud på persondatasikkerheden, som følger af Kommissionens forordning herom.  

Klager over Erhvervsstyrelsens afgørelser kan indbringes for Teleklagenævnet.

8
Kapitel
Straf - Bekendtgørelsens § 10

Overtrædelse af bekendtgørelsens regler om risikostyring, information til brugere ved særlig risiko for brug på persondatasikkerheden, optegnelser over brud på persondatasikkerheden eller manglede efterlevelse af påbud efter bekendtgørelsen kan straffes med bøde.

Selskaber mv. kan pålægges strafansvar i medfør af reglerne i straffelovens kap. 5 vedrørende strafansvar for juridiske personer.