Alle oplysninger, der identificerer eller med ethvert rimeligt hjælpemiddel kan identificere en person, er en personoplysning.

Det kan f.eks. være navn, adresse, matrikelnummer, nummerplade, email, IP-adresse, skostørrelse, tøjstørrelse, hårfarve, øjenfarve, gæld, sociale problemer (der ikke skyldes helbredsmæssige forhold) mv.

Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

• Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.
• Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
• Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
• Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.
• Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

Fortrolige personoplysninger er faktisk ikke et begreb, der udspringer direkte fra lovteksten. Derimod er det "opstået" ud fra vurderinger og afgørelser fra Datatilsynet. Det gælder blandt andet oplysninger om sociale forhold eller økonomiske oplysninger. Selvom begge typer af oplysninger hører til de almindelige personoplysninger, så har førnævnte vurdering og afgørelser gjort det klart at der er nogle almindelige oplysninger, der kræver lidt mere sikkerhed end andre.

Fortrolige personoplysninger er altså en delmængde af de almindelige personoplysninger og der findes ikke en udtømmende liste over dem, men som hovedregel er det oplysninger, der kan have mere omfattende konsekvenser ved et databrud, end f.eks. navn, alder, adresse (beskyttede adresser undtaget), telefonnummer og lignende.

De følsomme personoplysninger er,

• Race
• Etnicitet
• Politisk overbevisning
• Religiøs overbevisning
• Filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske data
• Biometriske data med det formål entydigt at identificere en person
• Helbredsoplysninger, fysiske el. psykiske lidelser, div. misbrug osv.
• Seksuelle forhold og/eller orientering

Der må som udgangspunkt ikke behandles følsomme personoplysninger med mindre mindst et af følgende forhold gør sig gældende.

• Den registrerede har givet udtrykkeligt samtykke til behandling af sådanne personoplysninger til et eller flere specifikke formål, medmindre det i EU-retten eller medlemsstaternes nationale ret er fastsat, at det i stk. 1 omhandlede forbud ikke kan hæves ved den registreredes samtykke.
• Behandling er nødvendig for at overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder, for så vidt den har hjemmel i EU-retten eller medlemsstaternes nationale ret eller en kollektiv overenskomst i medfør af medlemsstaternes nationale ret, som giver fornødne garantier for den registreredes grundlæggende rettigheder og interesser.
• Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser i tilfælde, hvor den registrerede fysisk eller juridisk ikke er i stand til at give samtykke.
• Behandling foretages af en stiftelse, en sammenslutning eller et andet organ, som ikke arbejder med gevinst for øje, og hvis sigte er af politisk, filosofisk, religiøs eller fagforeningsmæssig art, som led i organets legitime aktiviteter og med de fornødne garantier, og på betingelse af at behandlingen alene vedrører organets medlemmer, tidligere medlemmer eller personer, der på grund af organets formål er i regelmæssig kontakt hermed, og at personoplysningerne ikke videregives uden for organet uden den registreredes samtykke.
• Behandling vedrører personoplysninger, som tydeligvis er offentliggjort af den registrerede.
• Behandling er nødvendig, for at retskrav kan fastlægges, gøres gældende eller forsvares, eller når domstole handler i deres egenskab af domstol.
• Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
• Behandling er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret eller i henhold til en kontrakt med en sundhedsperson og underlagt de betingelser og garantier, der er omhandlet i stk. 3.*
• Behandling er nødvendig af hensyn til samfundsinteresser på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedsrisici eller sikring af høje kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr på grundlag af EU-retten eller medlemsstaternes nationale ret, som fastsætter passende og specifikke foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder, navnlig tavshedspligt.
• Behandling er nødvendig til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
   

*Personoplysninger kan behandles til de formål, hvis disse oplysninger behandles af en fagperson, der har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer, eller under en sådan persons ansvar, eller af en anden person, der også har tavshedspligt i henhold til EU-retten eller medlemsstaternes nationale ret eller regler, der er fastsat af nationale kompetente organer.

Ja, det gør der faktisk.

CPR-nummeret (eller nationale identitetsnumre, som det omtales i forordningen) har i Danmark fået en særlig status, der identisk med de regler, der fandtes i Persondataloven før GDPR, hvilket betyder, at

"Offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer."

Ligeledes er Straffedomme og strafbare forhold en kategori for sig selv - her gælder:

"For den offentlige forvaltning må der ikke behandles oplysninger om strafbare forhold, medmindre det er nødvendigt for varetagelsen af myndighedens opgaver."

Et sikkerhedsbrud er et brud på fortrolighed, tilgængelighed eller integritet.

Fortrolighed: Kun de rette personer skal have adgang til oplysningerne.

Tilgængelighed: Der skal være adgang til oplysningerne.

Integritet: Oplysningerne skal være korrekte og opdateret.

Fortrolighedsbrud kan være, men er ikke begrænset til,

en kollega, der uretmæssig får/har adgang til oplysninger
en borger, der modtager oplysninger om en anden borger
en hacker, der finder vej ind til oplysninger
mv.
Tilgængelighedsbrud kan være, men er ikke begrænset til,

netværket/internettet er nede,
leverandørens server er nede,
ens login virker ikke
mv.
Integritetsbrud kan være, men er ikke begrænset til,

oplysninger er ikke opdateret fra kildesystemer
oplysninger er ikke opdateret fra registrerede
oplysninger er blevet ændret, enten bevidst eller ved en fejl
mv.

Nye krav om håndtering af brud på persondatasikkerheden
Databeskyttelsesforordningen indeholder nye bestemmelser om, hvad Aabenraa Kommune som organisation skal gøre, hvis vi bliver udsat for et hackerangreb eller på anden måde mister kontrollen over de personoplysninger, vi behandler. Formålet er at øge fokus på ansvarligheden og indføre regler, der skal skabe gennemsigtighed og sikre, at vi som dataansvarlige reagerer, når der opstår brud på persondatasikkerheden. 

Overholder vi ikke reglerne, kan Datatilsynet udtale kritik eller udstede et påbud. Afhængig af omstændighederne i hver enkelt sag, kan der også blive tale om at sanktionere den manglende efterlevelse med bøde enten i kombination med eller i stedet for en af Datatilsynets korrigerende beføjelser.

Vi skal som dataansvarlige efter forordningen dokumentere alle sådanne brud på persondatasikkerheden. 

Beredskab og proces
I Aabenraa Kommune udvides det eksisterende 24/7 IT-beredskab på følgende måde:

I dagtimerne - kan Databeskyttelsesrådgiver Thomas Majholt kontaktes af borgere, systemejere og leverandører, hvis de har mistanke om brud på persondatasikkerheden. Databeskyttelsesrådgiveren vurderer i samråd med IT-driftslederen, informationssikkerhedskonsulenten og systemejeren bruddets karakter og igangsætter følgende beredskabsproces: 

• vurderer skadens karakter og igangsætter afhjælpning
• vurderer om registrerede personer skal kontaktes (via systemejer)
• vurderer om hændelsen skal anmeldes til Datatilsynet indenfor 72 timer
• dokumenterer forløbet i Acadre (særskilt hændelsessag ift. systemsagen)
• orienterer Informationssikkerhedsudvalget og direktionen efter nærmere vurdering

Interne henvendelser fra organisationen kan rettes til Databeskyttelsesrådgiver Thomas Majholt på tlf. 73 76 82 10, via mail dbr@aabenraa.dk eller oprettelse af en hændelseslog via Medarbejderportalen. 

Eksterne henvendelser fra borgere, leverandører og pressen kan rettes til Databeskyttelsesrådgiver Thomas Majholt på tlf. 73 76 82 10 eller via mail dbr@aabenraa.dk 

Udenfor normal arbejdstid – kan henvendelser om sikkerhedsbrud rettes til Driftsvagten på tlf. 30 63 25 44, der kontakter Databeskyttelsesrådgiveren, som oftest i samråd med IT-Driftslederen vurderer skadens karakter og igangsætter afhjælpning ud fra gældende beredskabsproces.

Databeskyttelsesrådgiveren i Aabenraa Kommune er

Thomas Veltz Majholt, 7376 8210, dbr@aabenraa.dk 

Se organisationsdiagram her.