Datalæk i erhvervsfond øger fokus på fondes GDPR-håndtering

Per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re og ko­pi­er af sy­ge­sik­rings­be­vi­ser blev ved en men­ne­ske­lig fejl sendt ud via USB-stik til be­bo­er­ne i tre ejen­dom­me på Fre­de­riks­berg. Data­tilsynet har net­op mod­taget en rede­gørel­se fra Frede­riks­berg Bolig­fond og ta­ger nu stil­ling til, hvil­ken kon­se­kvens data­læk­ket skal ha­ve. En ad­vo­kat med eks­per­ti­se i GD­PR-reg­­ler­­ne vur­derer, at sa­gen vil få Data­til­sy­net til frem­over at hol­de et ek­stra vå­gent øje med de dan­ske fon­de.

GDPR – Frederiksberg Boligfond
”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net," si­ger Tho­mas Munk Ras­mus­sen, ad­vo­kat og part­ner hos Bech-Bruun.

Be­sty­rel­sen i den er­hvervs­dri­ven­de fond, Fre­de­riks­berg Bo­lig­fond, af­le­ve­re­de i sid­ste uge sin for­kla­ring på et al­vor­ligt da­ta­læk til Da­ta­til­sy­net. Nu vur­de­rer til­sy­nets juri­ster, hvil­ke kon­se­kven­ser sa­gen skal ha­ve for fonds­le­del­sen.

”Nu har vi mod­ta­get re­de­gø­rel­sen og ta­ger in­den for en uges tid stil­ling til, hvad der vi­de­re skal ske,” si­ger Al­lan Frank, der er IT-sik­ker­heds­­spe­ci­a­list og cand.jur. i Da­ta­til­sy­net, til nyheds­bre­vet Dan­marks Fon­de.

Da­ta­læk­ket er en de før­ste al­vor­li­ge GD­PR-sa­­ger i fonds­sek­to­ren si­den de nye da­ta­be­skyt­tel­ses­reg­ler trå­d­te i kraft. Og eks­pert i GD­PR-reg­­ler­­ne, ad­vo­kat og part­ner i Bech-Bruun, Tho­mas Munk Ras­mus­sen, vur­de­rer at sa­gen vil få bå­de da­ta­ansvar­li­ge og myn­dig­he­der til at øge op­mærk­som­he­den på da­ta­be­skyt­tel­sen i fonds­sek­to­ren.

”Den pres­se­op­mærk­som­hed, som sa­gen har haft, kan og­så i sig selv væ­re en dri­ver i for­hold til at skær­pe Da­ta­til­sy­nets in­ter­es­se for fonds­om­rå­det,” si­ger Tho­mas Munk Ras­mus­sen.

Dødsattester og helbredsoplysninger slap ud

På den sid­ste hver­dag i 2018, før det ki­me­de til ju­le­fe­rie for de fle­ste dan­ske­re, fre­dag den 21. de­cem­ber, blev der rund­delt 424 USB-stik til le­jer­ne i ejen­dom­me­ne Den Søn­derjy­ske By, Sva­le­går­den og Pe­ter Bangs Hus på Fre­de­riks­berg. Af­sen­der var Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo.

Fre­de­riks­berg Bo­lig­fond er i gang med at sæl­ge de tre ejen­dom­me til den ame­ri­kan­ske ejen­doms­gi­gant Bla­ck­sto­ne, og USB-stik­ke­­ne in­de­holdt ma­te­ri­a­le, som le­jer­ne i ejen­dom­me­ne skal bru­ge, hvis de øn­sker at stif­te an­dels­bo­lig­for­e­nin­ger.

Men på en ræk­ke af de om­del­te USB-stik lå der ik­ke kun re­le­van­te do­ku­men­ter til brug for stif­tel­se af an­dels­bo­lig­for­e­nin­ger. Der lå og­så om­kring 40 fi­ler in­de­hol­den­de per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re, ko­pi­er af sy­ge­sik­rings­be­vi­ser, vi­el­se­s­at­te­ster, død­sat­te­ster, ko­pi­er af bil­re­gi­stre­ring­s­at­te­ster og sund­heds­mæs­si­ge læ­geud­ta­lel­ser om le­je­re. Op­lys­nin­ger, som Fre­de­riks­berg Bo­lig­fond ik­ke må ud­le­ve­re til tred­je­part uden de på­gæl­den­des ac­cept jævn­før den eu­ro­pæ­i­ske da­ta­be­skyt­tel­ses­for­ord­ning GDPR.

”Det er det vær­ste til­fæl­de af over­træ­del­se af per­son­da­ta­lov­giv­nin­gen, vi er stødt på. Fre­de­riks­berg Bo­lig­fond har ud­vist en to­tal respekt­løs­hed over­for gæl­den­de lov­giv­ning,” lød det da­gen ef­ter fra di­rek­tør i An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) Jan Han­sen i en pres­se­med­del­el­se.

Før­ste ud­mel­ding fra Fre­de­riks­berg Bo­lig­fond kom 23. de­cem­ber, hvor be­sty­rel­ses­for­mand Flem­m­ing Brank i en pres­se­med­del­el­se slog fast, at ”vi er me­get ke­de af det ske­te og har hur­tigt iværk­sat fle­re til­tag” – her­un­der via sit ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo at an­mel­de for­hol­det til Da­ta­til­sy­net.

”Me­get ty­der på, at der er ta­le om en men­ne­ske­lig fejl. I det ma­te­ri­a­le, le­jer­ne har mod­ta­get, ind­går der le­je­kon­trak­ter. Nog­le af le­je­kon­trak­ter­ne på USB-sti­ck­­s­­ne in­de­hol­der desvær­re bi­lag, der ik­ke skul­le ud. Da le­je­kon­trak­ter­ne blev scan­net, kom bi­la­ge­ne med. Det måt­te ik­ke ske,” lød det fra Flem­m­ing Brank, som fø­je­de til, at der vil­le bli­ve sat en un­der­sø­gel­se i gang.

Tre mulige konsekvenser

I kølvan­det på læka­gen modt­og Da­ta­til­sy­net ud over kla­gen fra An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF) og Fre­de­riks­berg Bo­lig­fonds egen an­mel­del­se af sik­ker­heds­brud­det og­så hen­ven­del­ser fra en­kelt­per­so­ner. Og i sid­ste uge, den 31. ja­nu­ar, gav Fre­de­riks­berg Bo­lig­fond så Da­ta­til­sy­net svar på til­sy­nets helt kon­kre­te spørgs­mål og frem­send­te en re­de­gø­rel­se.

”Da­ta­til­sy­nets re­ak­tions­mu­lig­he­der går fra at ta­ge re­de­gø­rel­sen til ef­ter­ret­ning over at gi­ve kri­tik til at fo­re­ta­ge en po­li­ti­an­mel­del­se. En even­tu­el po­li­ti­an­mel­del­se vil væ­re ret­tet mod den en­kel­te da­ta­ansvar­li­ge,” si­ger IT-sik­ker­heds­­spe­ci­a­list og cand.jur., Al­lan Frank, i Da­ta­til­sy­net.

Flem­m­ing Brank fra Fre­de­riks­berg Bo­lig­fond fast­hol­der på bag­grund af den se­ne­ste må­neds un­der­sø­gel­se af sa­gen – den un­der­sø­gel­se, som dan­ner bag­grund for fon­dens svar til Da­ta­til­sy­net – at der er ta­le om be­kla­ge­li­ge, men­ne­ske­li­ge fejl.

”Vi har ta­get sa­gen me­get se­ri­øst og sam­ar­bej­det tæt med et ek­ster­nt ad­vo­kat­fir­ma og vo­res ek­ster­ne re­viso­rer fra Pri­cewa­ter­hou­seCoo­pers. Blandt an­det er alt det ud­le­ve­re­de ma­te­ri­a­le til be­bo­er­ne – og her ta­ler vi om­kring 3.500 si­der i alt, sva­ren­de til me­re end én me­ter pa­pir lagt oven på hin­an­den – ble­vet gen­nem­gå­et for at sik­re, at der ik­ke skjul­te sig me­re end det, vi selv i før­ste om­gang hav­de fun­det frem til. Kon­klu­sio­nen er, at der i alt er cir­ka 40 til­fæl­de, der må be­teg­nes som fejl, og som vi kan kri­ti­se­res for. Der er ta­le om dybt be­kla­ge­li­ge men­ne­ske­li­ge fejl på bag­grund af men­ne­ske­li­ge vur­de­rin­ger,” si­ger be­sty­rel­ses­for­man­den.

Iføl­ge Flem­m­ing Brank står der i re­de­gø­rel­sen til Da­ta­til­sy­net, at ad­mi­ni­stra­tions­sel­ska­bet Pri­vat­Bo bur­de ha­ve la­vet ma­nu­el kon­trol af do­ku­men­ter­ne, in­den de blev scan­net ind, lagt på USB-stik og sendt rundt til be­bo­er­ne. En så­dan pro­ce­du­re vil der væ­re fremad­ret­tet, fast­slår Flem­m­ing Brank.

Der­u­d­over skri­ver Fre­de­riks­berg Bo­lig­fond iføl­ge be­sty­rel­ses­for­man­den i sin re­de­gø­rel­se, at USB-nøg­­ler­­ne skul­le ha­ve væ­ret kryp­te­ret og be­skyt­tet mod ko­pi­e­ring. En fejl, man og­så har lært af til en an­den gang.

”Der er in­gen tvivl om, at jeg ger­ne vil­le ha­ve væ­ret den­ne sag for­u­den. Men nu må vi se, hvad Da­ta­til­sy­net si­ger. Jeg fø­ler mig sik­ker på, at der som mini­mum kom­mer en på­ta­le over for den må­de, vi har hånd­te­ret tin­ge­ne på. Men om det er sand­syn­ligt, at det fø­rer til en straf­fe­ret­lig sag, har jeg ik­ke drøf­tet med no­gen end­nu. Vi må ta­ge tin­ge­ne, som de kom­mer,” si­ger Flem­m­ing Brank, der og­så har sæ­de i kom­mu­nal­be­sty­rel­sen på Fre­de­riks­berg valgt for de Kon­ser­va­ti­ve.

Vil kigge fonde efter i sømmene

Ad­vo­kat og part­ner hos ad­vo­kat­fir­ma­et Bech-Bruun Tho­mas Munk Ras­mus­sen har ar­bej­det in­ten­sivt med GDPR og blandt an­det un­der­vist fon­de og for­e­nin­ger i, hvor­dan de hånd­te­rer de nye reg­ler. Tho­mas Munk Ras­mus­sen me­ner, at uan­set hvor­dan Fre­de­riks­berg Bo­lig­fonds læka­ge af per­son­føl­som­me op­lys­nin­ger bli­ver vur­de­ret af Da­ta­til­sy­net, kan sa­gen få fle­re kon­se­kven­ser for fon­de­ne i Dan­mark.

”Li­ge­som med så man­ge an­dre ting er det først, når tin­ge­ne går galt, at der kom­mer fo­kus på, om man over­hol­der lov­giv­nin­gen. Og det er nær­lig­gen­de at tro, at Dan­marks fon­de – nok især fon­de af en vis stør­rel­se – nu kan for­ven­te yder­li­ge­re in­ter­es­se fra Da­ta­til­sy­net ud fra tan­ke­gan­gen, at ‘dem har vi ik­ke kig­get sær­lig me­get ef­ter i søm­me­ne før – det skal vi må­ske til at gø­re’, si­ger Tho­mas Munk Ras­mus­sen.

Ad­vo­ka­ten fra Bech-Bruun vur­de­rer, at Fre­­de­riks­­berg-sa­­gen bli­ver fulgt tæt af an­dre fon­de.

”Sa­gen har uden tvivl få­et man­ge fon­de til et over­ve­je, om det sam­me kun­ne væ­re sket for dem, og om der er brug for me­re vi­den blandt me­d­ar­bej­der­ne el­ler skær­pe­de pro­ce­du­rer for at und­gå at be­gå lig­nen­de fejl. Det er al­tid svært at gar­de­re sig fuld­stæn­dig mod men­ne­ske­li­ge fejl, men der er en ræk­ke ting, man kan gø­re for at mini­me­re ri­si­ko­en for fejl. Og hvis jeg ad­mi­ni­stre­re­de en fond, vil­le jeg be­nyt­te an­led­nin­gen til at tjek­ke pro­ce­du­rer­ne en ek­stra gang,” si­ger Tho­mas Munk Ras­mus­sen.

Han po­in­te­r­er, at det net­op er po­in­ten med GDPR, at fon­de­ne skal un­der­vi­se si­ne me­d­ar­bej­de­re og sik­re, at reg­ler­ne bli­ver ef­ter­le­vet for at mini­me­re ri­si­ko­en for men­ne­ske­li­ge fejl.

”Det er mit ind­tryk, at der sta­dig er et styk­ke vej for man­ge fon­de, før de er på sik­ker grund i for­hold til at kun­ne do­ku­men­te­re, at de har styr på de vig­tig­ste GD­PR-pro­­ces­­ser. Net­op den mang­len­de ev­ne til at do­ku­men­te­re er et kar­di­nal­punkt – og­så for fon­de­ne – men det hand­ler grund­læg­gen­de og­så om, at man­ge kun del­vist har sat sig ind i de nye reg­ler. Og den tid, dét ta­ger, kan vi­se sig at væ­re sær­de­les godt gi­vet ud i for­hold til den kon­se­kvens, det kan få, hvis det går galt,” fast­slår Tho­mas Munk Ras­mus­sen.

Orden i pennalhuset

Be­sty­rel­ses­for­mand i Fre­de­riks­berg Bo­lig­fond Flem­m­ing Brank me­ner ik­ke, at sa­gen er ud­tryk for, at fon­den og dens ad­mi­ni­stra­tions­sel­skab har mang­let vi­den om GDPR.

”Det er må­ske frækt af mig at sva­re ja til, at vi har væ­ret godt nok in­de i reg­ler­ne, men det me­ner jeg fak­tisk. Vi har få­et bi­stand fra kon­su­len­ter, som har hjul­pet os med at gen­nem­traw­le tin­ge­ne, så jeg sy­nes, vi har væ­ret gan­ske godt klædt på og haft or­den i pen­nal­hu­set. Hum­len i den kon­kre­te sag er sna­re­re, at vo­res ad­mi­ni­stra­tion ik­ke før har væ­ret ude i en salgs­si­tu­a­tion og har skul­let ned i et fjern­la­ger i et mørkt kæl­der­rum og fin­de gam­le hus­le­jesa­ger frem. De har sid­det med 3.500 si­der – og det, vi kan kon­sta­te­re, er, at nog­le af dis­se do­ku­men­ter ik­ke skul­le ha­ve væ­ret i ko­pi­ma­ski­nen. Men som jeg ser det, hand­ler den­ne sag me­re om, at ad­mi­ni­stra­tio­nen har væ­ret i en unik salgs­si­tu­a­tion, hvor rig­tig man­ge do­ku­men­ter er ble­vet be­hand­let ma­nu­elt, end den hand­ler om mang­len­de vi­den om GDPR,” si­ger Flem­m­ing Brank.

Skri­bent

Michael Monty
Mi­cha­el Monty
Fre­elan­cejour­na­list

Læs me­re om

Ka­te­go­ri­er:

Tags:

Læs også

Forsiden lige nu

Købmænd får 10 millioner fondskroner til uddeling blandt små foreninger

Cor­ona­kri­sens om­sig­gri­ben­de hær­gen ind­be­fat­ter og­så en lang ræk­ke lo­ka­le for­e­nin­ger og sport­s­klub­ber rundt om­kring i Dan­mark, som er hårdt ramt øko­no­misk i kølvan­det på…

Ingen har overblik over landets fondstilsyn

Det kan ly­de ut­ro­ligt i et land, der ple­jer at glæ­de sig over si­ne om­fat­ten­de re­gi­stre, men ik­ke de­sto min­dre er det sandt: In­gen…

Otte år uden fondstilsyn

Det kan væ­re sær­de­les van­ske­ligt for myn­dig­he­der­ne at hol­de styr på til­sy­net med fon­de, der und­ta­ges fra en­ten er­hvervs­fonds­lo­ven el­ler fonds­lo­ven. Det vi­ser hi­sto­ri­en om…

Grundlæggende udfordringer med reglerne for undtagelsesfonde og selvejende institutioner

  Det­te er en kom­men­tar. Kom­men­ta­ren er ud­tryk for skri­ben­tens egen hold­ning. Fon­de og sel­ve­jen­de in­sti­tu­tio­ner, der ud­fø­rer op­ga­ver for el­ler mod­ta­ger til­skud til sin drift…

Region Sjælland professionaliserer kampen om fondsmidler

I en pe­ri­o­de på fo­re­lø­big tre år skal et nystar­tet fond­s­kon­tor i Re­gion Sjæl­land for­sø­ge at hjæl­pe bå­de in­ter­nt i re­gio­nen og ek­ster­ne sam­ar­bejds­part­ne­re…

Byfond støtter genstart af sociale tilbud på Frederiksberg

Seks or­ga­ni­sa­tio­ner og for­e­nin­ger på Fre­de­riks­berg, der al­le på hver sin må­de ar­bej­der med so­ci­alt el­ler psy­kisk sår­ba­re per­so­ner, får nu en øje­blik­ke­lig øko­no­misk…

Louis-Hansen Fonden kommer kulturinstitutioner til undsætning

Den er­hvervs­dri­ven­de fond Aa­ge og Jo­han­ne Lou­is-Han­sens Fond har do­ne­ret 25 mil­li­o­ner kro­ner til 27 ud­valg­te kul­turin­sti­tu­tio­ner, som fon­den har lang­va­ri­ge re­la­tio­ner til. Fon­den har…

Coronakrise

Købmænd får 10 millioner fondskroner til uddeling blandt små foreninger

Cor­ona­kri­sens om­sig­gri­ben­de hær­gen ind­be­fat­ter og­så en lang ræk­ke lo­ka­le for­e­nin­ger og sport­s­klub­ber rundt om­kring i Dan­mark, som er hårdt ramt øko­no­misk i kølvan­det på…

Byfond støtter genstart af sociale tilbud på Frederiksberg

Seks or­ga­ni­sa­tio­ner og for­e­nin­ger på Fre­de­riks­berg, der al­le på hver sin må­de ar­bej­der med so­ci­alt el­ler psy­kisk sår­ba­re per­so­ner, får nu en øje­blik­ke­lig øko­no­misk…

Louis-Hansen Fonden kommer kulturinstitutioner til undsætning

Den er­hvervs­dri­ven­de fond Aa­ge og Jo­han­ne Lou­is-Han­sens Fond har do­ne­ret 25 mil­li­o­ner kro­ner til 27 ud­valg­te kul­turin­sti­tu­tio­ner, som fon­den har lang­va­ri­ge re­la­tio­ner til. Fon­den har…

Serie: Gode Ramme for Gode Donationer

Flere partier vil stimulere økonomien med milliarder fra opløsningsparate fonde

Retsord­fø­re­re fra en ræk­ke par­ti­er vil ha­ve ju­stits­mi­ni­ster Ni­ck Hæk­kerup (S) til at sæt­te tur­bo på ar­bej­det med at gø­re det let­te­re for små…

Gør klar til at betjene fonde og kommission: Ny direktør styrer omfattende modernisering af Civilstyrelsen

Ju­stits­mi­ni­ste­ri­ets kro­ne pry­der den hvi­de kon­tor­byg­nings mo­der­ne fa­ca­de, hvor den trans­pa­ren­te glas­dør gli­der til si­de og by­der in­den­for. Det er her fondsmyn­dig­he­den, som en…

Udsigt til revideret anbringelsesbekendtgørelse bør tvinge fondsbestyrelserne i arbejdstøjet

Det­te er en kom­men­tar. Kom­men­ta­ren er ud­tryk for skri­ben­ter­nes eg­ne hold­nin­ger. Nog­le vig­ti­ge be­slut­nin­ger i li­vet over­la­der vi ik­ke til an­dre. Vi kan f.eks. stå…

Finans Danmark rådgiver Civilstyrelsen om lempelse af investeringsregler

Si­den april har Ci­vil­sty­rel­sen væ­ret i di­a­log med banker­nes branche­orga­ni­sation, om at for­bed­re de læn­ge kri­ti­se­rede inve­ste­rings­reg­ler for de ik­ke-er­hvervs­dri­ven­de fon­des for­mu­er. Fon­de­nes bund­ne ka­pi­tal…

Fondsretsekspert hos Horten: fondskommission bør se på de lovløse fonde

Hvil­ke pro­ble­mer bør som mini­mum ind­gå i kom­mis­so­ri­et for en evt. kom­men­de fond­skom­mis­sion? Fun­dats har spurgt en fonds­ret­s­eks­pert med me­re end 20 års er­fa­ring i at rå­d­gi­ve fon­de. Part­ner i Hor­ten, ad­vo­kat Jim Øks­neb­jerg pe­ger her på fi­re cen­tra­le om­rå­der, hvor ram­me­vil­kå­re­ne for fonds­sek­to­ren kan for­bed­res. Det er vig­tigt og­så at hu­ske de fon­de, der er und­ta­get fra de to fonds­lo­ve, un­der­stre­ger han.

Professor: Fondskommission bør være bred og arbejde frit

Der er po­li­tisk op­bak­ning til at ned­sæt­te et eks­pert­ud­valg, der kan kom­me med for­slag til æn­drin­ger af den kri­ti­se­re­de fonds­lov fra 1985. Hvis ud­val­get bli­ver en re­a­li­tet, så skal bå­de dets fag­lig­hed og kom­mis­so­ri­um væ­re bre­de. Så­dan ly­der an­be­fa­lin­gen fra pro­fes­sor i fonds­ret Ras­mus Feldt­hu­sen fra Kø­ben­havns Uni­ver­si­tet.

Justitsminister: Store ændringer af fondsloven kan blive nødvendige

Pro­ble­mer­ne for de al­me­ne fon­de er så sto­re, at det kan kræ­ve en ‘gen­nem­gri­ben­de re­vi­sion’ af fonds­lo­ven, er­ken­der ju­stits­mi­ni­ster Ni­ck Hæk­kerup (S) nu. Selv­om Ci­vilsty­rel­sen in­den læn­ge lem­per reg­ler­ne for de al­me­ne fon­des in­ve­ste­rin­ger, så bli­ver der sand­syn­lig­vis brug for en stør­re lovæn­dring, vars­ler mi­ni­ste­ren.