Datatilsynet har endnu engang udtalt kritik af Familieretshuset for manglende behandlingssikkerhed, der har ført til flere tilfælde af utilsigtet videregivelse af beskyttede oplysninger og oplysninger om ophold på krisecentre.
Det skriver Datatilsynet i en pressemeddelelse.
Familieretshuset har anmeldt 28 brud på persondatasikkerheden til Datatilsynet i perioden fra den 6. januar 2023 til den 30. juni 2024.
Familieretshuset åbnede 1. april 2019 og erstattede Statsforvaltningen. Familieretshuset hører organisatorisk og budgetmæssigt under Social-, Bolig og Ældreministeriet.
Videregiver beskyttede navne og adresser
Bruddene består i, at Familieretshuset uberettiget har videregivet oplysninger om beskyttede navne og adresser eller andre oplysninger, som potentielt kan afsløre en persons opholdssted, herunder ophold på krisecenter.
Oplysningerne blev i de fleste tilfælde videregivet til den anden part i sagen, som typisk kunne være årsagen til valget om navne- og adressebeskyttelse eller ophold på krisecenter.
De utilsigtede videregivelser skyldes menneskelige fejl som følge af uopmærksomhed hos medarbejderne.
Datatilsynet har tidligere behandlet to lignende sager om Familieretshusets utilsigtede videregivelse af de samme typer af oplysninger. Datatilsynet traf afgørelse i disse sager den 4. marts 2021 og den 6. september 2022.
I begge sager blev der udtalt alvorlig kritik, og i sagen fra 2022 fik Familieretshuset tillige et påbud om at foretage en fornyet risikovurdering og på baggrund heraf at etablere fornødne organisatoriske eller tekniske sikkerhedsforanstaltninger for at mindske risikoen for nye lignende brud.
Alvorlig kritik for ikke at leve op til kravet om passende sikkerhed
Datatilsynet kan konstatere, at Familieretshuset igennem en årrække har taget initiativ til at gennemføre en række sikkerhedsforanstaltninger for at mindske risikoen for denne type af brud.
Datatilsynet finder imidlertid grundlag for på ny at udtale alvorlig kritik af, at Familieretshuset ikke havde levet op til kravet om passende sikkerhed.
I lyset af det fortsat forholdsvist høje antal brud og de meget alvorlige konsekvenser, denne type brud kan have for de berørte personer, er det Datatilsynets opfattelse, at Familieretshuset fortsat og løbende skal udfolde endog meget store bestræbelser for at undgå utilsigtet videregivelse af særligt oplysninger om beskyttede navne og adresser og ophold på krisecenter mv.
Det er endvidere Datatilsynets opfattelse, at Familieretshuset endnu ikke har implementeret tilstrækkelige sikkerhedsforanstaltninger – eller sikret, at de identificerede foranstaltninger endnu har haft den fornødne effekt – for at nedbringe risikoen for, at medarbejderne på grund af fejl, misforståelser eller uopmærksomhed utilsigtet videregiver oplysninger om registrerede til uvedkommende modtagere, herunder særligt sagens modpart, som ofte er årsagen til beskyttelsesbehovet.
Familieretshuset har således ikke i tilstrækkelig grad sikret, at medarbejderne har haft den fornødne omhu ved behandlingen af borgernes personoplysninger, herunder i forbindelse med den ekstra kontrol, der i visse tilfælde bliver udført af en anden sagsbehandler, ligesom der endnu ikke i tilstrækkeligt omfang er implementeret organisatoriske eller tekniske sikkerhedsforanstaltninger, som på anden vis kan afhjælpe de utilsigtet videregivelser af personoplysninger, der løbende er sket som følge af misforståelser, fejl eller opmærksomhed hos medarbejderne.
Datatilsynet har dog noteret sig, at Familieretshuset fortsat arbejder med at styrke eksisterende foranstaltninger og at implementere nye foranstaltninger, der skal mindske risikoen for lignende brud, samt med at implementere processer for løbende kontrol og evaluering af effektiviteten af eksisterende sikkerhedsforanstaltninger, herunder i forbindelse med konstatering af nye brud.
Datatilsynet finder imidlertid grundlag for fortsat at følge udviklingen i antallet af sådanne brud tæt. Datatilsynet har i den forbindelse bedt Familieretshuset om i det kommende år at fremsende uddybende oplysninger – i forhold til de oplysninger, der allerede angives i forbindelse med anmeldelsen af bruddet til Datatilsynet – ved eventuelle fremtidige brud af samme type. Det omfatter bl.a. en uddybende beskrivelse af, hvad vurderingen af bruddet har ført til i forhold til at mindske risikoen for lignende brud.
Gentagne brud på persondatasikkerheden bør generelt få dataansvarlige til at reflektere over allerede foretagne risikovurderinger. Brudtyper, der henføres til personlige fejl eller enkeltstående episoder, bør ved gentagelse give anledning til indførelse af yderligere effektive kontrolforanstaltninger, nye retningslinjer og eller teknisk understøttelse, der minimerer de nu kendte og aktualiserede risici.