Vejledning til bekendtgørelse om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester

14 februar 2017

Erhvervsstyrelsen har udarbejdet en vejledning, der beskriver og uddyber de krav, der følger af bekendtgørelse nr. 462 af 23. maj 2016 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

Formålet

Vejledningen har til formål at gøre det lettere for teleselskaber, der behandler en lang række persondata for at kunne udbyde tjenester til deres kunder, at forstå, hvad de skal gøre for at beskytte kundernes data og hvordan de særlige regler på teleområdet spiller sammen med andre regler om databeskyttelse.

Udbydere af offentlige elektroniske kommunikationstjenester skal overholde forskellige krav for at sikre persondatasikkerhed. Disse krav har sin baggrund i direktiv 2002/58/EF, der også kaldes e-privacydirektivet. Det bemærkes i den forbindelse, at EU-Kommissionen har fremsat forslag til en ny e-privacyforordning, der således skal erstatte det nuværende e-privacydirektiv. Forordningen har til formål at gøre op med, at e-privacydirektivet ikke kan følge med den teknologiske udvikling, hvilket har nødvendiggjort en introduktion af nye regler og principper, der bl.a. læner sig meget op den nye persondataforordning. De danske regler herom kan således endnu engang blive genstand for revidering, hvis de ikke lever op til den nye e-privacyforordning, forudsat at forslaget hertil godkendes og vedtages.

Du kan læse mere om forslaget her.

Indhold

I vejledningen gennemgås forholdet mellem bekendtgørelsens regler og andre regler om persondatabeskyttelse og informationssikkerhed, herunder bekendtgørelse nr. 567 af 1. juni 2016 om informationssikkerhed og beredskab i net og tjenester samt bekendtgørelse nr. 566 af 1. juni 2016 om oplysnings- og underretningspligter vedrørende net- og informationssikkerhed. Det er ikke altid helt entydigt, hvordan de forskellige regelsæt adskiller sig fra hinanden. Derudover uddybes bekendtgørelsens regler om risikostyring og underretning om brud på persondatasikkerheden.

Bekendtgørelsens anvendelsesområde og forhold til andre regler

Reglerne i bekendtgørelsen for persondatasikkerhed gælder for udbydere af offentlige elektroniske kommunikationstjenester, dvs. tjenester der stilles til rådighed til en ikke-afgrænset kreds af slutbrugere eller udbydere af elektroniske kommunikationsnet- eller tjenester. Udbydere af f.eks. telefoni- og internettjenester er således omfattet af reglerne, uanset om de pågældende tjenester udbydes via fastnet eller mobilnet. Vejledningens afsnit 2.2. og afsnit 2.3-2.5 uddyber, hvilke persondata der er omfattet, og beskriver forholdet til andre regler indenfor samme område.

Det anføres f.eks. i afsnit 2.4 og 5.2.2. i vejledningen, at reglerne om net- og informationssikkerhed i bekendtgørelse nr. 567 af 1. juni 2016 vedrører tilgængelighed, integritet og fortrolighed i offentligt tilgængelige net og tjenester, hvorimod bekendtgørelse om persondatasikkerhed alene vedrører persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester.

Der kan opstå situationer, hvor begge regelsæt skal iagttages, f.eks. hvor en hændelse både udgør et brud på persondatasikkerheden og informationssikkerheden. Hvis dette er tilfældet, skal både Erhvervsstyrelsen og Center for Cybersikkerhed underrettes om sikkerhedsbrudene. Den væsentligste forskel på reglerne om underretning er dog, at Erhvervsstyrelsen i alle tilfælde af brud på persondatasikkerheden skal underrettes herom, mens Center for Cybersikkerhed alene skal underrettes, hvis et brud på informationssikkerheden har væsentlige følger for driften af net og tjenester, eksempelvis når en længerevarende afbrydelse af en udbudt tjeneste rammer et større geografisk område, eller hvor passwords, brugernavne og lignende følsomme informationer, som er vigtige for den centrale del af driften, bliver gjort offentligt tilgængelige eller på anden måde kompromitteres.

Brud på persondatasikkerheden er f.eks., hvis man fremsender en specificeret telefonregning til en forkert modtager, eller en medarbejder udleverer persondata om en abonnent til en uvedkommende person, enten ved en fejl eller uden at sikre sig, at den pågældende modtager er berettiget til at modtage oplysningerne.

Derudover skal underretning til Erhvervsstyrelsen som udgangspunkt ske senest 24 timer efter bruddet er påvist, mens Center for Cybersikkerhed skal underrettes senest 14 dage efter, at der er konstateret brud med væsentlige følger for driften. Ved brud på persondatasikkerheden skal abonnenter eller fysiske personer også underrettes om brud, hvis det kan forventes at krænke personoplysninger eller privatlivets fred, jf. afsnit 5.2.3, hvori Erhvervsstyrelsen nærmere uddyber, hvad der skal tages i betragtning ved vurderingen af, om abonnenterne eller fysiske personer skal underrettes.

Helt overordnet gælder der således strengere krav til underretningen om brud på persondatasikkerheden, da der i alle tilfælde af brud skal ske underretning, og underretningen skal inden for de første 24 timer efter bruddet er konstateret.

Risikostyring

Den nye bekendtgørelse om persondatasikkerhed indeholder ikke skærpede sikkerhedskrav i forhold til den tidligere gældende regulering, men indebærer, at udbyderne har øget fleksibilitet til at leve op til kravene. I den forbindelse uddyber vejledningen i afsnit 3 reglerne om risikostyring, som indebærer, at udbyderne af offentlige elektroniske kommunikationstjenester løbende skal træffe passende foranstaltninger og organisatoriske foranstaltninger med henblik på at styre risici for persondatasikkerheden.

I den forbindelse giver Erhvervsstyrelsen bl.a. eksempler på, hvad en "passende" foranstaltning kan være, og understreger vigtigheden af at have klarhed over, hvem der er ansvarlig for sikkerheden. Den ansvarlige skal bl.a. udarbejde en sikkerhedspolitik og sikre, at de øvrige medarbejdere, der håndtere persondata, forstår vigtigheden af at beskytte persondata og er bekendte med virksomhedens sikkerhedspolitik.