Bestyrelsen i den erhvervsdrivende fond, Frederiksberg Boligfond, afleverede i sidste uge sin forklaring på et alvorligt datalæk til Datatilsynet. Nu vurderer tilsynets jurister, hvilke konsekvenser sagen skal have for fondsledelsen.
”Nu har vi modtaget redegørelsen og tager inden for en uges tid stilling til, hvad der videre skal ske,” siger Allan Frank, der er IT-sikkerhedsspecialist og cand.jur. i Datatilsynet, til nyhedsbrevet Danmarks Fonde.
Datalækket er en de første alvorlige GDPR-sager i fondssektoren siden de nye databeskyttelsesregler trådte i kraft. Og ekspert i GDPR-reglerne, advokat og partner i Bech-Bruun, Thomas Munk Rasmussen, vurderer at sagen vil få både dataansvarlige og myndigheder til at øge opmærksomheden på databeskyttelsen i fondssektoren.
”Den presseopmærksomhed, som sagen har haft, kan også i sig selv være en driver i forhold til at skærpe Datatilsynets interesse for fondsområdet,” siger Thomas Munk Rasmussen.
Dødsattester og helbredsoplysninger slap ud
På den sidste hverdag i 2018, før det kimede til juleferie for de fleste danskere, fredag den 21. december, blev der runddelt 424 USB-stik til lejerne i ejendommene Den Sønderjyske By, Svalegården og Peter Bangs Hus på Frederiksberg. Afsender var Frederiksberg Boligfonds administrationsselskab PrivatBo.
Frederiksberg Boligfond er i gang med at sælge de tre ejendomme til den amerikanske ejendomsgigant Blackstone, og USB-stikkene indeholdt materiale, som lejerne i ejendommene skal bruge, hvis de ønsker at stifte andelsboligforeninger.
Men på en række af de omdelte USB-stik lå der ikke kun relevante dokumenter til brug for stiftelse af andelsboligforeninger. Der lå også omkring 40 filer indeholdende personfølsomme oplysninger såsom CPR-numre, kopier af sygesikringsbeviser, vielsesattester, dødsattester, kopier af bilregistreringsattester og sundhedsmæssige lægeudtalelser om lejere. Oplysninger, som Frederiksberg Boligfond ikke må udlevere til tredjepart uden de pågældendes accept jævnfør den europæiske databeskyttelsesforordning GDPR.
”Det er det værste tilfælde af overtrædelse af persondatalovgivningen, vi er stødt på. Frederiksberg Boligfond har udvist en total respektløshed overfor gældende lovgivning,” lød det dagen efter fra direktør i Andelsboligforeningernes Fællesrepræsentation (ABF) Jan Hansen i en pressemeddelelse.
Første udmelding fra Frederiksberg Boligfond kom 23. december, hvor bestyrelsesformand Flemming Brank i en pressemeddelelse slog fast, at ”vi er meget kede af det skete og har hurtigt iværksat flere tiltag” – herunder via sit administrationsselskab PrivatBo at anmelde forholdet til Datatilsynet.
”Meget tyder på, at der er tale om en menneskelig fejl. I det materiale, lejerne har modtaget, indgår der lejekontrakter. Nogle af lejekontrakterne på USB-sticksne indeholder desværre bilag, der ikke skulle ud. Da lejekontrakterne blev scannet, kom bilagene med. Det måtte ikke ske,” lød det fra Flemming Brank, som føjede til, at der ville blive sat en undersøgelse i gang.
Tre mulige konsekvenser
I kølvandet på lækagen modtog Datatilsynet ud over klagen fra Andelsboligforeningernes Fællesrepræsentation (ABF) og Frederiksberg Boligfonds egen anmeldelse af sikkerhedsbruddet også henvendelser fra enkeltpersoner. Og i sidste uge, den 31. januar, gav Frederiksberg Boligfond så Datatilsynet svar på tilsynets helt konkrete spørgsmål og fremsendte en redegørelse.
”Datatilsynets reaktionsmuligheder går fra at tage redegørelsen til efterretning over at give kritik til at foretage en politianmeldelse. En eventuel politianmeldelse vil være rettet mod den enkelte dataansvarlige,” siger IT-sikkerhedsspecialist og cand.jur., Allan Frank, i Datatilsynet.
Flemming Brank fra Frederiksberg Boligfond fastholder på baggrund af den seneste måneds undersøgelse af sagen – den undersøgelse, som danner baggrund for fondens svar til Datatilsynet – at der er tale om beklagelige, menneskelige fejl.
”Vi har taget sagen meget seriøst og samarbejdet tæt med et eksternt advokatfirma og vores eksterne revisorer fra PricewaterhouseCoopers. Blandt andet er alt det udleverede materiale til beboerne – og her taler vi omkring 3.500 sider i alt, svarende til mere end én meter papir lagt oven på hinanden – blevet gennemgået for at sikre, at der ikke skjulte sig mere end det, vi selv i første omgang havde fundet frem til. Konklusionen er, at der i alt er cirka 40 tilfælde, der må betegnes som fejl, og som vi kan kritiseres for. Der er tale om dybt beklagelige menneskelige fejl på baggrund af menneskelige vurderinger,” siger bestyrelsesformanden.
Ifølge Flemming Brank står der i redegørelsen til Datatilsynet, at administrationsselskabet PrivatBo burde have lavet manuel kontrol af dokumenterne, inden de blev scannet ind, lagt på USB-stik og sendt rundt til beboerne. En sådan procedure vil der være fremadrettet, fastslår Flemming Brank.
Derudover skriver Frederiksberg Boligfond ifølge bestyrelsesformanden i sin redegørelse, at USB-nøglerne skulle have været krypteret og beskyttet mod kopiering. En fejl, man også har lært af til en anden gang.
”Der er ingen tvivl om, at jeg gerne ville have været denne sag foruden. Men nu må vi se, hvad Datatilsynet siger. Jeg føler mig sikker på, at der som minimum kommer en påtale over for den måde, vi har håndteret tingene på. Men om det er sandsynligt, at det fører til en strafferetlig sag, har jeg ikke drøftet med nogen endnu. Vi må tage tingene, som de kommer,” siger Flemming Brank, der også har sæde i kommunalbestyrelsen på Frederiksberg valgt for de Konservative.
Vil kigge fonde efter i sømmene
Advokat og partner hos advokatfirmaet Bech-Bruun Thomas Munk Rasmussen har arbejdet intensivt med GDPR og blandt andet undervist fonde og foreninger i, hvordan de håndterer de nye regler. Thomas Munk Rasmussen mener, at uanset hvordan Frederiksberg Boligfonds lækage af personfølsomme oplysninger bliver vurderet af Datatilsynet, kan sagen få flere konsekvenser for fondene i Danmark.
”Ligesom med så mange andre ting er det først, når tingene går galt, at der kommer fokus på, om man overholder lovgivningen. Og det er nærliggende at tro, at Danmarks fonde – nok især fonde af en vis størrelse – nu kan forvente yderligere interesse fra Datatilsynet ud fra tankegangen, at ‘dem har vi ikke kigget særlig meget efter i sømmene før – det skal vi måske til at gøre’, siger Thomas Munk Rasmussen.
Advokaten fra Bech-Bruun vurderer, at Frederiksberg-sagen bliver fulgt tæt af andre fonde.
”Sagen har uden tvivl fået mange fonde til et overveje, om det samme kunne være sket for dem, og om der er brug for mere viden blandt medarbejderne eller skærpede procedurer for at undgå at begå lignende fejl. Det er altid svært at gardere sig fuldstændig mod menneskelige fejl, men der er en række ting, man kan gøre for at minimere risikoen for fejl. Og hvis jeg administrerede en fond, ville jeg benytte anledningen til at tjekke procedurerne en ekstra gang,” siger Thomas Munk Rasmussen.
Han pointerer, at det netop er pointen med GDPR, at fondene skal undervise sine medarbejdere og sikre, at reglerne bliver efterlevet for at minimere risikoen for menneskelige fejl.
”Det er mit indtryk, at der stadig er et stykke vej for mange fonde, før de er på sikker grund i forhold til at kunne dokumentere, at de har styr på de vigtigste GDPR-processer. Netop den manglende evne til at dokumentere er et kardinalpunkt – også for fondene – men det handler grundlæggende også om, at mange kun delvist har sat sig ind i de nye regler. Og den tid, dét tager, kan vise sig at være særdeles godt givet ud i forhold til den konsekvens, det kan få, hvis det går galt,” fastslår Thomas Munk Rasmussen.
Orden i pennalhuset
Bestyrelsesformand i Frederiksberg Boligfond Flemming Brank mener ikke, at sagen er udtryk for, at fonden og dens administrationsselskab har manglet viden om GDPR.
”Det er måske frækt af mig at svare ja til, at vi har været godt nok inde i reglerne, men det mener jeg faktisk. Vi har fået bistand fra konsulenter, som har hjulpet os med at gennemtrawle tingene, så jeg synes, vi har været ganske godt klædt på og haft orden i pennalhuset. Humlen i den konkrete sag er snarere, at vores administration ikke før har været ude i en salgssituation og har skullet ned i et fjernlager i et mørkt kælderrum og finde gamle huslejesager frem. De har siddet med 3.500 sider – og det, vi kan konstatere, er, at nogle af disse dokumenter ikke skulle have været i kopimaskinen. Men som jeg ser det, handler denne sag mere om, at administrationen har været i en unik salgssituation, hvor rigtig mange dokumenter er blevet behandlet manuelt, end den handler om manglende viden om GDPR,” siger Flemming Brank.
