Datatilsynet ser ofte, at den dataansvarlige er for lang tid om at afklare omstændighederne ved brud på persondatasikkerheden. De dataansvarlige har herudover ofte svært ved vurderingen af, hvilke risici et brud udgør - typisk undlades det at vurdere potentielle fremtidige konsekvenser for de registrerede. Endeligt ser tilsynet også dataansvarlige, der fokuserer ensidigt på forhold ved bruddet, som synes at "tale risikoen ned", men som i virkeligheden skævvrider det reelle billede af risikoen ved bruddet.

Denne sag illustrerer en situation, hvor alle disse forhold førte til fejlagtige vurderinger af den dataansvarlige, forklarer Datatilsynet på sin hjemmeside..

Sagens forløb
Justitsministeriet sendte en e-mail til Advokatsamfundet med oplysninger om 35 personers navn, personnummer og bl.a. rykkerskrivelser vedr. oversendelse til inddrivelse af bøder i SKAT.

Mailen var afsendt uden om de normalt krypterede kanaler, og det kunne ikke dokumenteres, om mailen var blevet afsendt krypteret.

Datatilsynet udtalte alvorlig kritik af Justitsministeriet for at have handlet i strid med databeskyttelsesforordningens regler, både ved afsendelse af e-mailen og ved håndteringen af bruddet.

Særligt problematisk var det, at der gik ca. tre måneder, fra ministeriet blev informeret om det potentielle brud, til det var undersøgt. Det medførte en forsinket anmeldelse til Datatilsynet. Det var formentlig også medvirkende til, at det ikke kunne afklares med sikkerhed, hvordan e-mailen var blevet transmitteret over internettet.

Et af kritikpunkterne angår, at Justitsministeriet efter tre måneders undersøgelse af bruddet endnu ikke have besluttet, om de berørte registrerede skulle underrettes om bruddet. Ministeriet oplyste senere, at det var besluttet ikke at underrette, men uden at dette var baseret på nye oplysninger i sagen, Datatilsynet fandt derfor, at beslutningen burde være taget tidligere.

Datatilsynet tilsidesatte også Justitsministeriets vurdering af, at underretning ikke skulle ske. Datatilsynets fandt, at risikovurderingen ikke havde taget fat i de konkrete registreredes potentielle rettighedstab, men alene havde haft generelt fokus på, at ministeriet ikke havde viden om realiserede konsekvenser. Primært var fokus på, at ministeriet ikke havde fået kendskab til, at uvedkommende havde tilgået e-mailene, muligheden for f.eks. tab af tab af omdømme eller fremtidig virksomhed, var ikke en del af vurderingen.

Tilsynet er af den opfattelse, at en dataansvarlig ofte ikke vil være den første til at høre om et eventuelt misbrug, og i sager, hvor konsekvenser af uretmæssig adgang kan ligge i fremtiden, er konkret manglende viden om realiserede konsekvenser ikke nødvendigvis noget, som kan tillægges større betydning ved vurderingen af, hvilke risici et brud udgør for de registrerede.

Justitsministeriet blev, da Datatilsynet vurderede risikoen som høj, påbudt at underrette de registrerede om bruddet.