Datalæk i erhvervsfond øger fokus på fondes GDPR-håndtering

Per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re og ko­pi­er af sy­ge­sik­rings­be­vi­ser blev ved en men­ne­ske­lig fejl sendt ud via USB-stik til be­bo­er­ne i tre ejen­dom­me på Fre­de­riks­berg. Data­tilsynet har net­op mod­taget en rede­gørel­se fra Frede­riks­berg Bolig­fond og ta­ger nu stil­ling til, hvil­ken kon­se­kvens data­læk­ket skal ha­ve. En ad­vo­kat med eks­per­ti­se i GD­PR-reg­­ler­­ne vur­derer, at sa­gen vil få Data­til­sy­net til frem­over at hol­de et ek­stra vå­gent øje med de dan­ske fonde.

GDPR – Frederiksberg Boligfond
”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net," si­ger Tho­mas Munk Ras­mus­sen, ad­vo­kat og part­ner hos Bech-Bruun.

Be­sty­rel­sen i den er­hvervs­dri­ven­de fond, Fre­de­riks­berg Bo­lig­fond, af­le­ve­re­de i sid­ste uge sin for­kla­ring på et al­vor­ligt da­ta­læk til Da­ta­til­sy­net. Nu vur­de­rer til­sy­nets juri­ster, hvil­ke kon­se­kven­ser sa­gen skal ha­ve for fondsledelsen.

”Nu har vi mod­ta­get re­de­gø­rel­sen og ta­ger in­den for en uges tid stil­ling til, hvad der vi­de­re skal ske,” si­ger Al­lan Frank, der er IT-sik­ker­heds­­spe­ci­a­list og cand.jur. i Da­ta­til­sy­net, til nyheds­bre­vet Dan­marks Fonde.

Da­ta­læk­ket er en de før­ste al­vor­li­ge GD­PR-sa­­ger i fonds­sek­to­ren si­den de nye da­ta­be­skyt­tel­ses­reg­ler trå­d­te i kraft. Og eks­pert i GD­PR-reg­­ler­­ne, ad­vo­kat og part­ner i Bech-Bruun, Tho­mas Munk Ras­mus­sen, vur­de­rer at sa­gen vil få bå­de da­ta­ansvar­li­ge og myn­dig­he­der til at øge op­mærk­som­he­den på da­ta­be­skyt­tel­sen i fondssektoren.

”Den pres­se­op­mærk­som­hed, som sa­gen har haft, kan og­så i sig selv væ­re en dri­ver i for­hold til at skær­pe Da­ta­til­sy­nets in­ter­es­se for fonds­om­rå­det,” si­ger Tho­mas Munk Rasmussen.

Dødsattester og helbredsoplysninger slap ud

På den sid­ste hver­dag i 2018, før det ki­me­de til ju­le­fe­rie for de fle­ste dan­ske­re, fre­dag den 21. de­cem­ber, blev der rund­delt 424 USB-stik til le­jer­ne i ejen­dom­me­ne Den Søn­derjy­ske By, Sva­le­går­den og Pe­ter Bangs Hus på Fre­de­riks­berg. Af­sen­der var Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab PrivatBo.

Fre­de­riks­berg Bo­lig­fond er i gang med at sæl­ge de tre ejen­dom­me til den ame­ri­kan­ske ejen­doms­gi­gant Bla­ck­sto­ne, og USB-stik­ke­­ne in­de­holdt ma­te­ri­a­le, som le­jer­ne i ejen­dom­me­ne skal bru­ge, hvis de øn­sker at stif­te andelsboligforeninger.

Men på en ræk­ke af de om­del­te USB-stik lå der ik­ke kun re­le­van­te do­ku­men­ter til brug for stif­tel­se af an­dels­bo­lig­for­e­nin­ger. Der lå og­så om­kring 40 fi­ler in­de­hol­den­de per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re, ko­pi­er af sy­ge­sik­rings­be­vi­ser, vi­el­se­s­at­te­ster, død­sat­te­ster, ko­pi­er af bil­re­gi­stre­ring­s­at­te­ster og sund­heds­mæs­si­ge læ­geud­ta­lel­ser om le­je­re. Op­lys­nin­ger, som Fre­de­riks­berg Bo­lig­fond ik­ke må ud­le­ve­re til tred­je­part uden de på­gæl­den­des ac­cept jævn­før den eu­ro­pæ­i­ske da­ta­be­skyt­tel­ses­for­ord­ning GDPR.

”Det er det vær­ste til­fæl­de af over­træ­del­se af per­son­da­ta­lov­giv­nin­gen, vi er stødt på. Fre­de­riks­berg Bo­lig­fond har ud­vist en to­tal respekt­løs­hed over­for gæl­den­de lov­giv­ning,” lød det da­gen ef­ter fra di­rek­tør i An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) Jan Han­sen i en pressemeddelelse.

Før­ste ud­mel­ding fra Fre­de­riks­berg Bo­lig­fond kom 23. de­cem­ber, hvor be­sty­rel­ses­for­mand Flem­m­ing Brank i en pres­se­med­del­el­se slog fast, at ”vi er me­get ke­de af det ske­te og har hur­tigt iværk­sat fle­re til­tag” – her­un­der via sit ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo at an­mel­de for­hol­det til Datatilsynet.

”Me­get ty­der på, at der er ta­le om en men­ne­ske­lig fejl. I det ma­te­ri­a­le, le­jer­ne har mod­ta­get, ind­går der le­je­kon­trak­ter. Nog­le af le­je­kon­trak­ter­ne på USB-sti­ck­­s­­ne in­de­hol­der desvær­re bi­lag, der ik­ke skul­le ud. Da le­je­kon­trak­ter­ne blev scan­net, kom bi­la­ge­ne med. Det måt­te ik­ke ske,” lød det fra Flem­m­ing Brank, som fø­je­de til, at der vil­le bli­ve sat en un­der­sø­gel­se i gang.

Tre mulige konsekvenser

I kølvan­det på læka­gen modt­og Da­ta­til­sy­net ud over kla­gen fra An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) og Fre­de­riks­berg Bo­lig­fonds egen an­mel­del­se af sik­ker­heds­brud­det og­så hen­ven­del­ser fra en­kelt­per­so­ner. Og i sid­ste uge, den 31. ja­nu­ar, gav Fre­de­riks­berg Bo­lig­fond så Da­ta­til­sy­net svar på til­sy­nets helt kon­kre­te spørgs­mål og frem­send­te en redegørelse.

”Da­ta­til­sy­nets re­ak­tions­mu­lig­he­der går fra at ta­ge re­de­gø­rel­sen til ef­ter­ret­ning over at gi­ve kri­tik til at fo­re­ta­ge en po­li­ti­an­mel­del­se. En even­tu­el po­li­ti­an­mel­del­se vil væ­re ret­tet mod den en­kel­te da­ta­ansvar­li­ge,” si­ger IT-sik­ker­heds­­spe­ci­a­list og cand.jur., Al­lan Frank, i Datatilsynet.

Flem­m­ing Brank fra Fre­de­riks­berg Bo­lig­fond fast­hol­der på bag­grund af den se­ne­ste må­neds un­der­sø­gel­se af sa­gen – den un­der­sø­gel­se, som dan­ner bag­grund for fon­dens svar til Da­ta­til­sy­net – at der er ta­le om be­kla­ge­li­ge, men­ne­ske­li­ge fejl.

”Vi har ta­get sa­gen me­get se­ri­øst og sam­ar­bej­det tæt med et ek­ster­nt ad­vo­kat­fir­ma og vo­res ek­ster­ne re­viso­rer fra Pri­cewa­ter­hou­seCoo­pers. Blandt an­det er alt det ud­le­ve­re­de ma­te­ri­a­le til be­bo­er­ne – og her ta­ler vi om­kring 3.500 si­der i alt, sva­ren­de til me­re end én me­ter pa­pir lagt oven på hin­an­den – ble­vet gen­nem­gå­et for at sik­re, at der ik­ke skjul­te sig me­re end det, vi selv i før­ste om­gang hav­de fun­det frem til. Kon­klu­sio­nen er, at der i alt er cir­ka 40 til­fæl­de, der må be­teg­nes som fejl, og som vi kan kri­ti­se­res for. Der er ta­le om dybt be­kla­ge­li­ge men­ne­ske­li­ge fejl på bag­grund af men­ne­ske­li­ge vur­de­rin­ger,” si­ger bestyrelsesformanden.

Iføl­ge Flem­m­ing Brank står der i re­de­gø­rel­sen til Da­ta­til­sy­net, at ad­mi­ni­stra­tions­sel­ska­bet Pri­vat­Bo bur­de ha­ve la­vet ma­nu­el kon­trol af do­ku­men­ter­ne, in­den de blev scan­net ind, lagt på USB-stik og sendt rundt til be­bo­er­ne. En så­dan pro­ce­du­re vil der væ­re fremad­ret­tet, fast­slår Flem­m­ing Brank.

Der­u­d­over skri­ver Fre­de­riks­berg Bo­lig­fond iføl­ge be­sty­rel­ses­for­man­den i sin re­de­gø­rel­se, at USB-nøg­­ler­­ne skul­le ha­ve væ­ret kryp­te­ret og be­skyt­tet mod ko­pi­e­ring. En fejl, man og­så har lært af til en an­den gang.

”Der er in­gen tvivl om, at jeg ger­ne vil­le ha­ve væ­ret den­ne sag for­u­den. Men nu må vi se, hvad Da­ta­til­sy­net si­ger. Jeg fø­ler mig sik­ker på, at der som mini­mum kom­mer en på­ta­le over for den må­de, vi har hånd­te­ret tin­ge­ne på. Men om det er sand­syn­ligt, at det fø­rer til en straf­fe­ret­lig sag, har jeg ik­ke drøf­tet med no­gen end­nu. Vi må ta­ge tin­ge­ne, som de kom­mer,” si­ger Flem­m­ing Brank, der og­så har sæ­de i kom­mu­nal­be­sty­rel­sen på Fre­de­riks­berg valgt for de Konservative.

Vil kigge fonde efter i sømmene

Ad­vo­kat og part­ner hos ad­vo­kat­fir­ma­et Bech-Bruun Tho­mas Munk Ras­mus­sen har ar­bej­det in­ten­sivt med GDPR og blandt an­det un­der­vist fon­de og for­e­nin­ger i, hvor­dan de hånd­te­rer de nye reg­ler. Tho­mas Munk Ras­mus­sen me­ner, at uan­set hvor­dan Fre­de­riks­berg Bo­lig­fonds læka­ge af per­son­føl­som­me op­lys­nin­ger bli­ver vur­de­ret af Da­ta­til­sy­net, kan sa­gen få fle­re kon­se­kven­ser for fon­de­ne i Danmark.

”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net ud fra tan­ke­gan­gen, at ‘dem har vi ik­ke kig­get sær­lig me­get ef­ter i søm­me­ne før – det skal vi må­ske til at gø­re’, si­ger Tho­mas Munk Rasmussen.

Ad­vo­ka­ten fra Bech-Bruun vur­de­rer, at Fre­­de­riks­­berg-sa­­gen bli­ver fulgt tæt af an­dre fonde.

”Sa­gen har uden tvivl få­et man­ge fon­de til et over­ve­je, om det sam­me kun­ne væ­re sket for dem, og om der er brug for me­re vi­den blandt me­d­ar­bej­der­ne el­ler skær­pe­de pro­ce­du­rer for at und­gå at be­gå lig­nen­de fejl. Det er al­tid svært at gar­de­re sig fuld­stæn­dig mod men­ne­ske­li­ge fejl, men der er en ræk­ke ting, man kan gø­re for at mini­me­re ri­si­ko­en for fejl. Og hvis jeg ad­mi­ni­stre­re­de en fond, vil­le jeg be­nyt­te an­led­nin­gen til at tjek­ke pro­ce­du­rer­ne en ek­stra gang,” si­ger Tho­mas Munk Rasmussen.

Han po­in­te­r­er, at det net­op er po­in­ten med GDPR, at fon­de­ne skal un­der­vi­se si­ne me­d­ar­bej­de­re og sik­re, at reg­ler­ne bli­ver ef­ter­le­vet for at mini­me­re ri­si­ko­en for men­ne­ske­li­ge fejl.

”Det er mit ind­tryk, at der sta­dig er et styk­ke vej for man­ge fon­de, før de er på sik­ker grund i for­hold til at kun­ne do­ku­men­te­re, at de har styr på de vig­tig­ste GD­PR-pro­­ces­­ser. Net­op den mang­len­de ev­ne til at do­ku­men­te­re er et kar­di­nal­punkt – og­så for fon­de­ne – men det hand­ler grund­læg­gen­de og­så om, at man­ge kun del­vist har sat sig ind i de nye reg­ler. Og den tid, dét ta­ger, kan vi­se sig at væ­re sær­de­les godt gi­vet ud i for­hold til den kon­se­kvens, det kan få, hvis det går galt,” fast­slår Tho­mas Munk Rasmussen.

Orden i pennalhuset

Be­sty­rel­ses­for­mand i Fre­de­riks­berg Bo­lig­fond Flem­m­ing Brank me­ner ik­ke, at sa­gen er ud­tryk for, at fon­den og dens ad­mi­ni­stra­tions­sel­skab har mang­let vi­den om GDPR.

”Det er må­ske frækt af mig at sva­re ja til, at vi har væ­ret godt nok in­de i reg­ler­ne, men det me­ner jeg fak­tisk. Vi har få­et bi­stand fra kon­su­len­ter, som har hjul­pet os med at gen­nem­traw­le tin­ge­ne, så jeg sy­nes, vi har væ­ret gan­ske godt klædt på og haft or­den i pen­nal­hu­set. Hum­len i den kon­kre­te sag er sna­re­re, at vo­res ad­mi­ni­stra­tion ik­ke før har væ­ret ude i en salgs­si­tu­a­tion og har skul­let ned i et fjern­la­ger i et mørkt kæl­der­rum og fin­de gam­le hus­le­jesa­ger frem. De har sid­det med 3.500 si­der – og det, vi kan kon­sta­te­re, er, at nog­le af dis­se do­ku­men­ter ik­ke skul­le ha­ve væ­ret i ko­pi­ma­ski­nen. Men som jeg ser det, hand­ler den­ne sag me­re om, at ad­mi­ni­stra­tio­nen har væ­ret i en unik salgs­si­tu­a­tion, hvor rig­tig man­ge do­ku­men­ter er ble­vet be­hand­let ma­nu­elt, end den hand­ler om mang­len­de vi­den om GDPR,” si­ger Flem­m­ing Brank.

Skri­bent

Michael Monty
Mi­cha­el Monty
Jour­na­list

Læs me­re om

Ka­te­go­ri­er:

Tags:

Læs også

Forsiden lige nu

Flere fonde dropper turen til Allinge

Mens de po­li­ti­ske ud­mel­din­ger om ram­mer­ne for som­me­rens sto­re uden­dør­s­ar­ran­ge­men­ter har få­et de fle­ste sto­re mu­sik­festi­va­ler med Roskil­de Festi­val i spid­sen til at aflyse…

Stor ekstrabevilling fra Ole Kirks Fond til Danmarks nye børnehospital

Hvor­dan sik­rer man den bedst mu­li­ge bru­gero­p­le­vel­se for pa­tien­ter så vel som for på­rø­ren­de på det kom­men­de bør­ne­ho­spi­tal i Kø­ben­havn, Bør­ne­ri­get? Det er spørgs­må­let, som…

Opinion: Danske fonde skal ind i (klima)kampen

Det­te er en kom­men­tar. Kom­men­ta­ren er ud­tryk for skri­ben­tens egen hold­ning. I tirs­dags, den 4. maj, of­fent­lig­gjor­de Ve­lux og Vil­lum fon­de­ne, at de vil øge…

Nyt akademi finansieret med fondsmidler skal styrke dansk datavidenskab

De se­ne­ste år har of­fent­li­ge og pri­va­te ak­tø­rer in­ve­ste­ret be­ty­de­ligt i forsk­nings­pro­jek­ter og ini­ti­a­ti­ver for at styr­ke Dan­marks in­ter­na­tio­na­le po­si­tion in­den­for da­ta­vi­den­ska­be­lig forsk­ning. Der…

KFI Fonden vil spille en større rolle indenfor nærhed og bæredygtighed

Med 146 mil­li­o­ner kro­ner i ud­de­lin­ger for­delt på 1.145 be­vil­lin­ger blev 2021 et re­kordår for KFI Er­hvervs­dri­ven­de fond. Det sva­rer til en tredob­ling af…

Kæmpebevilling fra Velux Fondene skal føre til skærpet dansk klimafokus

Vil­lum Fon­den og Ve­lux Fon­den in­ten­si­ve­rer nu mar­kant fo­kus på kli­ma­dags­or­de­nen i Dan­mark. Det sker med en ek­stra­or­di­nær be­vil­ling fra de to fon­de på 320…

Jørgen Ejbøl afviser medarbejderrepræsentanter i Jyllands-Postens Fond

Der var dra­ma i me­di­e­ver­de­nen, da In­si­de­Bu­si­ness for ny­lig kun­ne af­slø­re, at Jyl­lands-Po­stens Fond i 2022 smi­der den ru­ti­ne­re­de me­di­e­mand Lars Munch på porten…

Coronakrise

Flere fonde dropper turen til Allinge

Mens de po­li­ti­ske ud­mel­din­ger om ram­mer­ne for som­me­rens sto­re uden­dør­s­ar­ran­ge­men­ter har få­et de fle­ste sto­re mu­sik­festi­va­ler med Roskil­de Festi­val i spid­sen til at aflyse…

Nyt akademi finansieret med fondsmidler skal styrke dansk datavidenskab

De se­ne­ste år har of­fent­li­ge og pri­va­te ak­tø­rer in­ve­ste­ret be­ty­de­ligt i forsk­nings­pro­jek­ter og ini­ti­a­ti­ver for at styr­ke Dan­marks in­ter­na­tio­na­le po­si­tion in­den­for da­ta­vi­den­ska­be­lig forsk­ning. Der…

Industriens Fond sætter ny uddelingsrekord

Som føl­ge af cor­o­na-epi­de­mi­en og er­hvervs­li­vets ned­luk­nings­kri­se blev 2020 og­så et be­gi­ven­heds­rigt år for In­du­stri­ens Fond. Men ud­over den sær­li­ge cor­o­naind­sats en­ga­ge­re­de fon­den sig i…

Serie: Gode Ramme for Gode Donationer

Rigide investeringsregler har kostet samfundet hundredvis af fondsmillioner

Seks mil­li­ar­der kro­ner om året har de al­me­ne fon­de i gen­nem­snit be­vil­get om året si­den 2016 iføl­ge Dan­marks Sta­ti­stik. Men be­vil­lin­ger­ne kun­ne hvert ene­ste år…

Finans Danmark: bankerne vil ikke være Kirsten Giftekniv for små fonde

Lad ban­ker­nes ti stats­god­kend­te for­valt­nings­af­de­lin­ger væ­re match-ma­ke­re for små fon­de, der øn­sker at bli­ve fu­sio­ne­ret. Det fø­rer til bed­re for­rent­ning af fon­de­nes ka­pi­tal, færre…

Civilstyrelsen fordobler opløsningsgrænsen: Flere fondsformuer kan nu rulles ud i den økonomiske krise

Ci­vilsty­rel­sen vil nu la­de fle­re fon­de slå hul på spa­rebøs­sen og ud­de­le re­sten af for­mu­en til al­men­nyt­ti­ge for­mål i sam­fun­det. Fondsmyn­dig­he­den har nem­lig besluttet…

Flere partier vil stimulere økonomien med milliarder fra opløsningsparate fonde

Retsord­fø­re­re fra en ræk­ke par­ti­er vil ha­ve ju­stits­mi­ni­ster Ni­ck Hæk­kerup (S) til at sæt­te tur­bo på ar­bej­det med at gø­re det let­te­re for små…

Gør klar til at betjene fonde og kommission: Ny direktør styrer omfattende modernisering af Civilstyrelsen

Ju­stits­mi­ni­ste­ri­ets kro­ne pry­der den hvi­de kon­tor­byg­nings mo­der­ne fa­ca­de, hvor den trans­pa­ren­te glas­dør gli­der til si­de og by­der in­den­for. Det er her fondsmyn­dig­he­den, som en…

Udsigt til revideret anbringelsesbekendtgørelse bør tvinge fondsbestyrelserne i arbejdstøjet

Det­te er en kom­men­tar. Kom­men­ta­ren er ud­tryk for skri­ben­ter­nes eg­ne hold­nin­ger. Nog­le vig­ti­ge be­slut­nin­ger i li­vet over­la­der vi ik­ke til an­dre. Vi kan f.eks. stå…