Tilsyn med persondatasikkerhed på teleområdet

Digitaliseringsstyrelsen fører tilsyn med reglerne om persondatasikkerhed i den elektroniske kommunikationssektor. Reglerne gælder for alle udbydere af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjenester.

Formålet med Digitaliseringsstyrelsen tilsyn, er at sikre, at udbydere af elektroniske kommunikationstjenester behandler deres kunders persondata i overensstemmelse med reglerne. I det øjemed fører Digitaliseringsstyrelsen tilsyn med brud på persondatasikkerheden, der sker i forbindelse med selskabers udbud af elektroniske kommunikationstjenester. Det inkluderer bl.a. at undersøge de indberettede brud og vurdere selskabernes sikkerhedsforanstaltninger.

Andre forhold vedr. disse selskabers behandling af persondata ligger under Datatilsynets tilsyn med GDPR og de generelle databeskyttelsesregler.

Her kan du læse Digitaliseringsstyrelsen årsberetninger samt vigtige afgørelser og vurderinger på området.

Politianmeldelse af OiSTER

Digitaliseringsstyrelsen blev den 26. juni 2024 opmærksom på, at der var sket et brud på persondatasikkerheden hos OiSTER, som berørte 246.748 af OiSTERs brugere. Bruddet, som fandt sted i forbindelse med en omfattende IT-opdatering, medførte, at brugere med udeladt navn og kontaktoplysninger fik deres oplysninger offentliggjort på hjemmesiden 118.dk. Oplysningerne lå offentligt tilgængelig i tre dage. OiSTER blev gjort opmærksom på bruddet fra en række af de berørte brugere, hvis oplysninger pludselig lå offentlig tilgængelige.

Digitaliseringsstyrelsen har været i dialog med OiSTER, som har redegjort for sagen. Selskabet har blandt andet forklaret, at de forud for IT-opdateringen havde testet for fejl, og at testen forløb uden problemer. IT-opgraderingen medførte dog, at selskabets almindelige proces med at sende en fil med nummeroplysningsdata til 118.dk ikke blev genereret som vanligt. Herved fik selskabet sendt en fil, der også indeholdt oplysninger på de brugere, der havde ønsket disse udeladt.

OiSTER har oplyst, at de for at forhindre lignende hændelser i fremtiden har implementeret yderligere kontrol i forbindelse med systemopdateringer. Denne kontrol inkluderer en intern test i produktion, hvor en fil sammenlignes før og efter opdateringen, inden den sendes til 118.dk. Herved vil det blive opdaget, hvis oplysninger der førhen var udeladte, ikke længere er markeret som sådan.

Digitaliseringsstyrelsen har som følge af persondatasikkerhedsbruddet vurderet, at OiSTER forud for bruddet ikke havde overholdt sine forpligtelser om at træffe passende tekniske og organisatoriske foranstaltninger for at sikre persondatasikkerheden, jf. § 3 i persondatasikkerhedsbekendtgørelsen. Det er desuden styrelsens vurdering, at OiSTER ikke har overholdt sin forpligtelse om at holde udeladte oplysninger hemmelige, jf. § 31, stk. 4 i teleloven.

Digitaliseringsstyrelsen finder efter en konkret vurdering, at bruddet er af en sådan karakter, at selskabet skal politianmeldes. Styrelsen har lagt vægt på, at der er tale om en sag med et væsentligt antal berørte brugere, ligesom der er tale om oplysninger, som i lovgivningen er særskilt undtaget fra offentliggørelse af hensyn til brugerens privatliv og i visse tilfælde sikkerhed, såfremt årsagen til hemmeligt nummer er risiko for chikane eller forfølgelse.

Vurderingen er desuden baseret på, at brugernes oplysninger var tilgængelige i tre dage, og at OiSTERS egne tekniske og organisatoriske foranstaltninger ikke identificerede bruddet.

FAQ

Afgørelser og vurderinger