Det viser en kontrol med virksomheden, som har fået Datatilsynet til at udtale kritik af Krifa for at overtræde databeskyttelsesforordningen.

Det drejer sig om overtrædelser af forordningens bestemmelser om sikkerhed i behandling af personlige oplysninger.

Mails til Krifas medlemmer ikke har været ordentligt beskyttet, vurderer Datatilsynets i deres afgørelsen fra 5. november 2019.

Det her påbud ligger oppe i det lyserøde felt

Konkrete står der i påbuddet, at Krifa har “overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af en e-mail, der er lagret på virksomhedens sikre webtjeneste til læsning af e-mail.”

Ekspert: Det er et “hårdt påbud”

Ifølge ekspert i datasikkerhed er der tale om et “hårdt påbud” fra Datatilsynet.

“Det er ikke helt oppe i det røde felt, hvor de står til bøde og politianmeldelse, men de har ikke overholdt reglerne. Det her påbud ligger oppe i det lyserøde felt,” vurderer lektor i persondata ved Københavns Universitet, Hanne Marie Motzfeldt, til Netavisen Pio.

Fristen for at efterleve påbuddet og rette op på fejlen, er den 26. november 2019. Efterlever Krifa ikke påbuddet, vil det udløse en bøde, står der i Datatilsynets afgørelse.

I er skriftligt svar til Netavisen Pio, skriver Krifa, at man i weekenden den 16.-18. november har forbedret sikkerheden i mailsystemet efter en model, der er godkendt af Datatilsynet.

De konstaterer også, at vi lever op til kravene om en dokumenteret risikobaseret tilgang til håndtering af persondata

Krifa garanterer desuden, at deres medlemmer - på trods af påbuddet -  kan være trygge ved fagforeningens håndtering af deres personfølsomme oplysninger.
I samme svar glæder Krifas databeskyttelsesrådgiver Hans Ullemose Pedersen sig over, at Krifa lever op til reglerne på en række punkter.   

“Helt overordnet glæder vi os over, at Datatilsynet sammenfattende konkluderer, at Krifas grundlæggende setup om kryptering af mails herunder Sikker@Mail er i overensstemmelse med GDPR. De konstaterer også, at vi lever op til kravene om en dokumenteret risikobaseret tilgang til håndtering af persondata,” lyder det i et skriftligt svar.

Krifa undlod at indberette fejl 

Datatilsynet påtaler desuden, at Krifa har undladt at inberette til Datatilsynet, at man i en periode på fire måneder manglende kryptering på e-mails sendt til medlemmerne.

Det er ikke godt, at Krifa ikke selv har meldt, at de havde problemer med sikkerheden, mener Hanne Marie Motzfeldt.

“Det er ikke godt. Tankegangen i den nye databeskyttelseslov er, at man skal indberette for at lære af sine fejl, så man kan gøre tingene bedre hele tiden,” siger hun.

Vi må så konstatere, at Datatilsynet og Krifa indtil nu har haft forskellige vurderinger af, hvad der skal anmeldes 

Når Krifa ikke indberettede deres problemer med sikkerheden tilbage i foråret, så skyldes det, ifølge deres databeskyttelsesrådgiver, at Krifa selv foretog en risikovurdering, der mundede ud i, at man undlod at anmelde brudet til Datatilsynet, da man vurderede, at “der ikke har været risiko for de berørte medlemmers persondata”.

Krifa erkender, at Datatilsynet er kommet frem til en anden konklusion.

“Vi må så konstatere, at Datatilsynet og Krifa indtil nu har haft forskellige vurderinger af, hvad der skal anmeldes, og det vil vi selvfølgelig forholde os til fremadrettet,” skriver Hans Ullemose Pedersen.
 

Fagforeningsvalg er følsomt på linje med seksuel orientering

Den fejl som Datatilsynet vurderer burde være anmeldt, skete i perioden 1. januar til 9. april 2019.

Her har fagforeningen sendt e-mails med personfølsomme oplysninger om “fagforeningsmæssige tilhørsforhold” uden kryptering.

Den hører til helt oppe sammen med din seksuelle orientering, din DNA-profil og din religiøse overbevisning

Selvom et medlemskab af en fagforening kan virke som en harmløs oplysning, så er det faktisk kategoriseret som en personfølsom oplysning, som skal have særlig beskyttelse, forklarer Hanne Marie Motzfeldt.

“Den hører til helt oppe sammen med din seksuelle orientering, din DNA-profil og din religiøse overbevisning. Lønmodtagernes ret til at organisere sig og retten til, at der ikke er nogen, der kan snage i, at vi har valgt at organisere os, er helt deroppe,” siger hun og fortsætter: 

“Ud fra et bredere perspektiv er det helt på sin plads. For udenfor Danmarks grænser er retten til at organisere sig faktisk under pres,” afslutter Hanne Marie Motzfeldt.