Når vi beskæftiger os med GDPR, bliver vi smerteligt bevidste om, at der sker fejl, når vi arbejder og håndterer borgernes oplysninger. I medierne kan vi læse om brud med alvorlige konsekvenser for de berørte personer. Men erfaringerne fortæller os, at det nærmest er uundgåeligt, at menneskelige fejl af og til vil ske, når vi håndterer personoplysninger. Så hvad kan vi gøre for at undgå eller begrænse disse fejl?

I flere artikler fra juni 2023 følger DR op på sager om brud hos en myndighed, der i 2022 fik alvorlig kritik og påbud fra Datatilsynet på grund af fejl i videregivelsen af beskyttede oplysninger. DR har nu fået aktindsigt hos Datatilsynet og rapporterer, at der i 2023 er blevet anmeldt fire nye sager, hvor myndigheden har brudt kvinders anonymitet.

Ifølge DR er fejlene sket, når medarbejdere har udleveret dokumenter under sagsbehandlingen, hvor personfølsomme oplysninger ikke er blevet sløret.

Artiklen fremhæver også problemet med forsinkede underretninger til de berørte. Aktindsigten viser, at myndigheden har brugt flere dage på at orientere kvinderne, når et sikkerhedsbrud er blevet opdaget. I den første sag gik der to dage, mens det i den seneste sag tog seks dage.

Tidligere afgørelser offentliggjort af Datatilsynet beskriver, hvordan den omhandlede myndighed har stort fokus på at undgå utilsigtet videregivelse af personoplysninger og kontinuerligt arbejder på at forbedre sikkerheden. Myndigheden har imidlertid konstateret, at der kan ske menneskelige fejl, når medarbejderne udfører deres arbejde, og at disse fejl desværre kan føre til brud på persondatasikkerheden, hvor beskyttede navne og adresser utilsigtet videregives.

Over for Datatilsynet har myndigheden desuden informeret om en række tiltag, herunder brug af alternative betegnelser i stedet for parternes navne, gennemgang af dokumenter af to medarbejdere for at sikre, at beskyttede oplysninger ikke fremgår af dokumenterne og dermed utilsigtet videregives, samt forskellige organisatoriske tiltag vedrørende opmærksomhed og øget fokus på databeskyttelse.

Det ser ud til, at myndigheden har formået at reducere antallet af fejl, hvor oplysninger bliver udleveret, men desværre sker der stadig fejl fra tid til anden.

Hvad kan vi gøre for at undgå, at fortrolige persondata udleveres til uvedkommende?

For at undgå eller reducere antallet af brud på persondatasikkerheden kan følgende generelle råd være nyttige:

1. Minimer eller undgå behandling af kritiske personoplysninger: Overvej om det er muligt at begrænse eller helt undgå angivelsen af kritiske oplysninger som beskyttede adresser og opholdssteder i dokumenter og breve. Dette kan gøres ved at omformulere eller fjerne disse oplysninger allerede under udformningen af materialet.
2. Tænk beskyttelsen af personoplysninger ind i jeres arbejdsgange: Hvis det er nødvendigt at inkludere kritiske oplysninger i dokumenter, kan I overveje at præsentere dem på en måde, der tydeligt angiver, at de skal udelades ved aktindsigt eller andre former for udlevering. Dette kan f.eks. gøres ved at placere disse oplysninger i et separat felt på forsiden af dokumentet og tydeligt markere, at de er fortrolige. Dette vil imidlertid ikke løse udfordringerne ved, at der også kan være tale om udlevering af parternes egne indlæg i sagen, som også indeholder personoplysninger, som skal beskyttes. Så der er brug for flere tiltag.
3. Alloker tilstrækkelig tid og ressourcer: Sørg for at medarbejderne har tilstrækkelig tid til at gennemgå og kvalitetssikre de dokumenter, de sender ud. Højt arbejdspres og mangel på ressourcer kan øge sandsynligheden for fejl. Vær opmærksom på, at tilstrækkelige ressourcer også er nødvendige for at håndtere brud effektivt og sikre rettidig anmeldelse til Datatilsynet samt hurtig underretning af de berørte borgere.
4. Implementer tydelige retningslinjer: Sørg for, at der er klare og detaljerede retningslinjer for håndtering af personoplysninger. Disse retningslinjer bør være tilgængelige for alle medarbejdere, der arbejder med personoplysninger, og de bør omfatte specifikke instruktioner til håndtering af kritiske oplysninger.
5. Træn og opdater medarbejdere og ledere: Giv medarbejderne den nødvendige træning og uddannelse i forhold til GDPR og organisationens retningslinjer. Sørg for, at både medarbejdere og ledere har tilstrækkelig forståelse for vigtigheden af de opgaver, der skal udføres, hvis der opstår fejl og brud på persondatasikkerheden.
6. Implementer passende foranstaltninger til at imødegå risikoen for, at personoplysninger udleveres ved en fejl: Indfør kontrolforanstaltninger og kvalitetssikringsprocesser, der kan hjælpe med at identificere og rette eventuelle fejl, før oplysninger udleveres. Dette kan f.eks. omfatte dobbelttjek, godkendelsesprocedurer og gennemgang af dokumenter før afsendelse.
7. Evaluer og genbesøg foranstaltninger: I bør regelmæssigt gennemgå og evaluere effektiviteten af de implementerede foranstaltninger til at undgå uberettiget videregivelse af oplysninger. Hvis bestemte typer af brud gentager sig, bør der tages stilling til, om der kan implementeres yderligere effektive foranstaltninger eller teknisk understøttelse for at reducere de identificerede risici.
8. Lær af tidligere fejl: Evaluer og analyser tidligere fejl eller brud på persondatasikkerheden for at identificere årsagerne og implementere foranstaltninger til at undgå gentagelser. Brug disse fejl som læringserfaringer og sørg for at indarbejde de nødvendige ændringer for at forhindre gentagelse af lignende fejl i fremtiden.
9. Gennemfør regelmæssige revisionsprocesser og DPO-tilsyn: Gennemfør periodiske audits og revisionsprocesser for at identificere eventuelle svagheder eller områder, hvor der er behov for forbedring. Hvis organisationen har en databeskyttelsesrådgiver (DPO), omfatter DPO'ens opgaver at monitorere overholdelsen af GDRP og organisationens egne politikker om beskyttelse af personoplysninger. Denne overvågning kan f.eks. ske i form af et DPO-tilsyn. 
10. Få anbefalinger fra DPO'en: Hvis organisationen har en DPO, bør vedkommende tages med på råd i den løbende håndtering af alle brud på persondatasikkerheden. Herudover kan DPO'en også give mere overordnede forslag og anbefalinger f.eks. på baggrund af et gennemført  DPO-tilsyn.

Selvom det kan være svært at undgå fejl fuldstændigt, kan disse råd hjælpe med til at minimere risikoen og forbedre kvaliteten af håndteringen af personoplysninger. Ved at være proaktive og konstant arbejde på at forbedre processer og procedurer kan I bidrage til, at antallet af fejl reduceres, og at beskyttelsen af personoplysninger forbedres.

Husk også, at det er vigtigt at holde sig opdateret med de seneste retningslinjer og afgørelser fra bl.a. Datatilsynet. GDPR er et område i løbende udvikling.

.........................................

Dette er en informationstekst, som fremhæver centrale elementer vedrørende en problemstilling. Teksten kan ikke stå alene som rådgivning men bør suppleres med viden om regler og praksis og efter behov professionel rådgivning.