Datalæk i erhvervsfond øger fokus på fondes GDPR-håndtering

Personfølsomme oplysninger såsom CPR-numre og kopier af sygesikringsbeviser blev ved en menneskelig fejl sendt ud via USB-stik til beboerne i tre ejendomme på Fre­de­riks­berg. Data­tilsynet har netop mod­taget en rede­gørel­se fra Frede­riks­berg Bolig­fond og tager nu stil­ling til, hvilken kon­se­kvens data­læk­ket skal have. En ad­vo­kat med eks­per­ti­se i GDPR-reg­ler­ne vur­derer, at sagen vil få Data­til­sy­net til frem­over at holde et ekstra vå­gent øje med de danske fonde.

GDPR – Frederiksberg Boligfond
”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net," si­ger Tho­mas Munk Ras­mus­sen, ad­vo­kat og part­ner hos Bech-Bruun.

Be­sty­rel­sen i den er­hvervs­dri­ven­de fond, Fre­de­riks­berg Bo­lig­fond, af­le­ve­re­de i sid­ste uge sin for­kla­ring på et al­vor­ligt da­ta­læk til Da­ta­til­sy­net. Nu vur­de­rer til­sy­nets juri­ster, hvil­ke kon­se­kven­ser sa­gen skal ha­ve for fondsledelsen.

”Nu har vi mod­ta­get re­de­gø­rel­sen og ta­ger in­den for en uges tid stil­ling til, hvad der vi­de­re skal ske,” si­ger Al­lan Frank, der er IT-sik­ker­heds­spe­ci­a­list og cand.jur. i Da­ta­til­sy­net, til nyheds­bre­vet Dan­marks Fonde.

Da­ta­læk­ket er en de før­ste al­vor­li­ge GD­PR-sa­ger i fonds­sek­to­ren si­den de nye da­ta­be­skyt­tel­ses­reg­ler trå­d­te i kraft. Og eks­pert i GD­PR-reg­ler­ne, ad­vo­kat og part­ner i Bech-Bruun, Tho­mas Munk Ras­mus­sen, vur­de­rer at sa­gen vil få bå­de da­ta­ansvar­li­ge og myn­dig­he­der til at øge op­mærk­som­he­den på da­ta­be­skyt­tel­sen i fondssektoren.

”Den pres­se­op­mærk­som­hed, som sa­gen har haft, kan og­så i sig selv væ­re en dri­ver i for­hold til at skær­pe Da­ta­til­sy­nets in­ter­es­se for fonds­om­rå­det,” si­ger Tho­mas Munk Rasmussen.

Dødsattester og helbredsoplysninger slap ud

På den sid­ste hver­dag i 2018, før det ki­me­de til ju­le­fe­rie for de fle­ste dan­ske­re, fre­dag den 21. de­cem­ber, blev der rund­delt 424 USB-stik til le­jer­ne i ejen­dom­me­ne Den Søn­derjy­ske By, Sva­le­går­den og Pe­ter Bangs Hus på Fre­de­riks­berg. Af­sen­der var Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab PrivatBo.

Fre­de­riks­berg Bo­lig­fond er i gang med at sæl­ge de tre ejen­dom­me til den ame­ri­kan­ske ejen­doms­gi­gant Bla­ck­sto­ne, og USB-stik­ke­ne in­de­holdt ma­te­ri­a­le, som le­jer­ne i ejen­dom­me­ne skal bru­ge, hvis de øn­sker at stif­te andelsboligforeninger.

Men på en ræk­ke af de om­del­te USB-stik lå der ik­ke kun re­le­van­te do­ku­men­ter til brug for stif­tel­se af an­dels­bo­lig­for­e­nin­ger. Der lå og­så om­kring 40 fi­ler in­de­hol­den­de per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re, ko­pi­er af sy­ge­sik­rings­be­vi­ser, vi­el­se­s­at­te­ster, død­sat­te­ster, ko­pi­er af bil­re­gi­stre­ring­s­at­te­ster og sund­heds­mæs­si­ge læ­geud­ta­lel­ser om le­je­re. Op­lys­nin­ger, som Fre­de­riks­berg Bo­lig­fond ik­ke må ud­le­ve­re til tred­je­part uden de på­gæl­den­des ac­cept jævn­før den eu­ro­pæ­i­ske da­ta­be­skyt­tel­ses­for­ord­ning GDPR.

”Det er det vær­ste til­fæl­de af over­træ­del­se af per­son­da­ta­lov­giv­nin­gen, vi er stødt på. Fre­de­riks­berg Bo­lig­fond har ud­vist en to­tal respekt­løs­hed over­for gæl­den­de lov­giv­ning,” lød det da­gen ef­ter fra di­rek­tør i An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) Jan Han­sen i en pressemeddelelse.

Før­ste ud­mel­ding fra Fre­de­riks­berg Bo­lig­fond kom 23. de­cem­ber, hvor be­sty­rel­ses­for­mand Flem­m­ing Brank i en pres­se­med­del­el­se slog fast, at ”vi er me­get ke­de af det ske­te og har hur­tigt iværk­sat fle­re til­tag” – her­un­der via sit ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo at an­mel­de for­hol­det til Datatilsynet.

”Me­get ty­der på, at der er ta­le om en men­ne­ske­lig fejl. I det ma­te­ri­a­le, le­jer­ne har mod­ta­get, ind­går der le­je­kon­trak­ter. Nog­le af le­je­kon­trak­ter­ne på USB-sti­ck­s­ne in­de­hol­der desvær­re bi­lag, der ik­ke skul­le ud. Da le­je­kon­trak­ter­ne blev scan­net, kom bi­la­ge­ne med. Det måt­te ik­ke ske,” lød det fra Flem­m­ing Brank, som fø­je­de til, at der vil­le bli­ve sat en un­der­sø­gel­se i gang.

Tre mulige konsekvenser

I kølvan­det på læka­gen modt­og Da­ta­til­sy­net ud over kla­gen fra An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) og Fre­de­riks­berg Bo­lig­fonds egen an­mel­del­se af sik­ker­heds­brud­det og­så hen­ven­del­ser fra en­kelt­per­so­ner. Og i sid­ste uge, den 31. ja­nu­ar, gav Fre­de­riks­berg Bo­lig­fond så Da­ta­til­sy­net svar på til­sy­nets helt kon­kre­te spørgs­mål og frem­send­te en redegørelse.

”Da­ta­til­sy­nets re­ak­tions­mu­lig­he­der går fra at ta­ge re­de­gø­rel­sen til ef­ter­ret­ning over at gi­ve kri­tik til at fo­re­ta­ge en po­li­ti­an­mel­del­se. En even­tu­el po­li­ti­an­mel­del­se vil væ­re ret­tet mod den en­kel­te da­ta­ansvar­li­ge,” si­ger IT-sik­ker­heds­spe­ci­a­list og cand.jur., Al­lan Frank, i Datatilsynet.

Flem­m­ing Brank fra Fre­de­riks­berg Bo­lig­fond fast­hol­der på bag­grund af den se­ne­ste må­neds un­der­sø­gel­se af sa­gen – den un­der­sø­gel­se, som dan­ner bag­grund for fon­dens svar til Da­ta­til­sy­net – at der er ta­le om be­kla­ge­li­ge, men­ne­ske­li­ge fejl.

”Vi har ta­get sa­gen me­get se­ri­øst og sam­ar­bej­det tæt med et ek­ster­nt ad­vo­kat­fir­ma og vo­res ek­ster­ne re­viso­rer fra Pri­cewa­ter­hou­seCoo­pers. Blandt an­det er alt det ud­le­ve­re­de ma­te­ri­a­le til be­bo­er­ne – og her ta­ler vi om­kring 3.500 si­der i alt, sva­ren­de til me­re end én me­ter pa­pir lagt oven på hin­an­den – ble­vet gen­nem­gå­et for at sik­re, at der ik­ke skjul­te sig me­re end det, vi selv i før­ste om­gang hav­de fun­det frem til. Kon­klu­sio­nen er, at der i alt er cir­ka 40 til­fæl­de, der må be­teg­nes som fejl, og som vi kan kri­ti­se­res for. Der er ta­le om dybt be­kla­ge­li­ge men­ne­ske­li­ge fejl på bag­grund af men­ne­ske­li­ge vur­de­rin­ger,” si­ger bestyrelsesformanden.

Iføl­ge Flem­m­ing Brank står der i re­de­gø­rel­sen til Da­ta­til­sy­net, at ad­mi­ni­stra­tions­sel­ska­bet Pri­vat­Bo bur­de ha­ve la­vet ma­nu­el kon­trol af do­ku­men­ter­ne, in­den de blev scan­net ind, lagt på USB-stik og sendt rundt til be­bo­er­ne. En så­dan pro­ce­du­re vil der væ­re fremad­ret­tet, fast­slår Flem­m­ing Brank.

Der­u­d­over skri­ver Fre­de­riks­berg Bo­lig­fond iføl­ge be­sty­rel­ses­for­man­den i sin re­de­gø­rel­se, at USB-nøg­ler­ne skul­le ha­ve væ­ret kryp­te­ret og be­skyt­tet mod ko­pi­e­ring. En fejl, man og­så har lært af til en an­den gang.

”Der er in­gen tvivl om, at jeg ger­ne vil­le ha­ve væ­ret den­ne sag for­u­den. Men nu må vi se, hvad Da­ta­til­sy­net si­ger. Jeg fø­ler mig sik­ker på, at der som mini­mum kom­mer en på­ta­le over for den må­de, vi har hånd­te­ret tin­ge­ne på. Men om det er sand­syn­ligt, at det fø­rer til en straf­fe­ret­lig sag, har jeg ik­ke drøf­tet med no­gen end­nu. Vi må ta­ge tin­ge­ne, som de kom­mer,” si­ger Flem­m­ing Brank, der og­så har sæ­de i kom­mu­nal­be­sty­rel­sen på Fre­de­riks­berg valgt for de Konservative.

Vil kigge fonde efter i sømmene

Ad­vo­kat og part­ner hos ad­vo­kat­fir­ma­et Bech-Bruun Tho­mas Munk Ras­mus­sen har ar­bej­det in­ten­sivt med GDPR og blandt an­det un­der­vist fon­de og for­e­nin­ger i, hvor­dan de hånd­te­rer de nye reg­ler. Tho­mas Munk Ras­mus­sen me­ner, at uan­set hvor­dan Fre­de­riks­berg Bo­lig­fonds læka­ge af per­son­føl­som­me op­lys­nin­ger bli­ver vur­de­ret af Da­ta­til­sy­net, kan sa­gen få fle­re kon­se­kven­ser for fon­de­ne i Danmark.

”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net ud fra tan­ke­gan­gen, at ‘dem har vi ik­ke kig­get sær­lig me­get ef­ter i søm­me­ne før – det skal vi må­ske til at gø­re’, si­ger Tho­mas Munk Rasmussen.

Ad­vo­ka­ten fra Bech-Bruun vur­de­rer, at Fre­de­riks­berg-sa­gen bli­ver fulgt tæt af an­dre fonde.

”Sa­gen har uden tvivl få­et man­ge fon­de til et over­ve­je, om det sam­me kun­ne væ­re sket for dem, og om der er brug for me­re vi­den blandt me­d­ar­bej­der­ne el­ler skær­pe­de pro­ce­du­rer for at und­gå at be­gå lig­nen­de fejl. Det er al­tid svært at gar­de­re sig fuld­stæn­dig mod men­ne­ske­li­ge fejl, men der er en ræk­ke ting, man kan gø­re for at mini­me­re ri­si­ko­en for fejl. Og hvis jeg ad­mi­ni­stre­re­de en fond, vil­le jeg be­nyt­te an­led­nin­gen til at tjek­ke pro­ce­du­rer­ne en ek­stra gang,” si­ger Tho­mas Munk Rasmussen.

Han po­in­te­r­er, at det net­op er po­in­ten med GDPR, at fon­de­ne skal un­der­vi­se si­ne me­d­ar­bej­de­re og sik­re, at reg­ler­ne bli­ver ef­ter­le­vet for at mini­me­re ri­si­ko­en for men­ne­ske­li­ge fejl.

”Det er mit ind­tryk, at der sta­dig er et styk­ke vej for man­ge fon­de, før de er på sik­ker grund i for­hold til at kun­ne do­ku­men­te­re, at de har styr på de vig­tig­ste GD­PR-pro­ces­ser. Net­op den mang­len­de ev­ne til at do­ku­men­te­re er et kar­di­nal­punkt – og­så for fon­de­ne – men det hand­ler grund­læg­gen­de og­så om, at man­ge kun del­vist har sat sig ind i de nye reg­ler. Og den tid, dét ta­ger, kan vi­se sig at væ­re sær­de­les godt gi­vet ud i for­hold til den kon­se­kvens, det kan få, hvis det går galt,” fast­slår Tho­mas Munk Rasmussen.

Orden i pennalhuset

Be­sty­rel­ses­for­mand i Fre­de­riks­berg Bo­lig­fond Flem­m­ing Brank me­ner ik­ke, at sa­gen er ud­tryk for, at fon­den og dens ad­mi­ni­stra­tions­sel­skab har mang­let vi­den om GDPR.

”Det er må­ske frækt af mig at sva­re ja til, at vi har væ­ret godt nok in­de i reg­ler­ne, men det me­ner jeg fak­tisk. Vi har få­et bi­stand fra kon­su­len­ter, som har hjul­pet os med at gen­nem­traw­le tin­ge­ne, så jeg sy­nes, vi har væ­ret gan­ske godt klædt på og haft or­den i pen­nal­hu­set. Hum­len i den kon­kre­te sag er sna­re­re, at vo­res ad­mi­ni­stra­tion ik­ke før har væ­ret ude i en salgs­si­tu­a­tion og har skul­let ned i et fjern­la­ger i et mørkt kæl­der­rum og fin­de gam­le hus­le­jesa­ger frem. De har sid­det med 3.500 si­der – og det, vi kan kon­sta­te­re, er, at nog­le af dis­se do­ku­men­ter ik­ke skul­le ha­ve væ­ret i ko­pi­ma­ski­nen. Men som jeg ser det, hand­ler den­ne sag me­re om, at ad­mi­ni­stra­tio­nen har væ­ret i en unik salgs­si­tu­a­tion, hvor rig­tig man­ge do­ku­men­ter er ble­vet be­hand­let ma­nu­elt, end den hand­ler om mang­len­de vi­den om GDPR,” si­ger Flem­m­ing Brank.

Vil du læse artiklen?

Med et abon­ne­ment får du fuld ad­gang til fun​dats​.dk.

Det ko­ster at pro­du­ce­re uaf­hæn­gig og dyb­de­bo­ren­de jour­na­li­stisk. Læs me­re om Fun­dats og se pri­ser­ne for at abon­ne­re her.

Abon­nér

Allerede abonnent? Log ind her:

Skribent

Michael Monty
Michael Monty
Journalist

Læs mere om

Kategorier:

Tags:

Læs også

Forsiden lige nu

Kommunikation

Serie: Gode Ramme for Gode Donationer