Anbefaling: Drop DAO hvis det er vigtigt
Det offentlige har et særligt ansvar for at beskytte borgernes personoplysninger ved valg af eksterne leverandører. Når en region indgiver anmeldelse til Datatilsynet, rejser det principielle spørgsmål om databeskyttelse, kontrol og leveringssikkerhed. Samtidig får virksomheder og organisationer anledning til at overveje deres egne valg af distributører. Sagen om DAO og Region Syddanmark giver derfor grundlag for en midlertidig og saglig revurdering af brugen af leverandøren. Det samme gælder for alle virksomheder, der ikke kan være tjent med at miste måske 3% af alle forsendelser.
DR Nyheder har omtalt, at Region Syddanmark har anmeldt DAO til Datatilsynet efter bekymring om håndteringen af personoplysninger i forbindelse med distribution af post. Det skriver DR. Ifølge omtalen vedrører sagen risikoen for, at fortrolige eller personfølsomme oplysninger kan være blevet eksponeret i forbindelse med håndteringen og leveringen af breve. Når offentlige myndigheder anvender private distributører til udsendelse af blandt andet sundhedsrelateret post, stiller det skærpede krav til både tekniske og organisatoriske sikkerhedsforanstaltninger.
Efter databeskyttelsesforordningens artikel 5 skal personoplysninger behandles lovligt, rimeligt og gennemsigtigt samt beskyttes mod uautoriseret eller ulovlig behandling. Forordningen kan læses her:
https://eur-lex.europa.eu/eli/reg/2016/679/oj
Brug for juridisk, international eller økonomisk rådgivning?
Kontakt vores danske specialister direkte på et af vores kontorer:
Advokat og Revisor Samvirket – Professionel rådgivning siden 1991
Herudover følger det af artikel 32, at den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen.
Datatilsynet offentliggør afgørelser om brud på persondatasikkerheden på sin hjemmeside:
https://www.datatilsynet.dk/afgoerelser
Sagen illustrerer, at også logistikleddet er en del af den samlede databeskyttelsesretlige kæde.
Når en virksomhed eller myndighed overlader fysisk distribution af dokumenter til en ekstern aktør, vil der typisk være tale om et databehandlerforhold, hvis distributøren behandler personoplysninger på vegne af den dataansvarlige.
Det medfører blandt andet krav om:
- Indgåelse af databehandleraftale i overensstemmelse med artikel 28
- Dokumenterede sikkerhedsforanstaltninger
- Instruktionsbeføjelse og kontrol
- Risikovurdering af leverandøren
- Håndtering af eventuelle brud på persondatasikkerheden
Hvis der opstår risiko for brud på persondatasikkerheden, kan den dataansvarlige være forpligtet til at anmelde forholdet til Datatilsynet, jf. artikel 33. Særligt ved udsendelse af sundhedsoplysninger eller andre følsomme oplysninger, jf. artikel 9, skærpes kravene yderligere.
På baggrund af den aktuelle omtale og anmeldelsen til Datatilsynet kan det anbefales midlertidigt at afvente brugen af DAO, indtil sagen er fuldt afklaret.
En sådan anbefaling hviler ikke på en konstatering af ansvar, men på et forsigtighedsprincip og hensynet til dokumentation, sporbarhed og risikominimering.
I stedet har vi ændret det således, at forsendelser håndteres via:
- PostNord, hvor forsendelser kan spores via track and trace, her sender vi breve som pakker fordi DAO for tiden er upålidelig og/eller enormt forsinket
- UPS, hvor tilsvarende sporings- og dokumentationsmuligheder foreligger, Man vi derfor modtage UPS express konvulutter for Apostille og Notarpapirer m.v. visa UPS.
Begge løsninger giver mulighed for løbende overvågning af forsendelsens status og skriftlig dokumentation for levering.
For virksomheder med compliancekrav, herunder advokatvirksomheder, revisorer, sundhedsaktører og finansielle virksomheder, kan sporbarhed være en væsentlig del af den samlede risikostyring.
Nedenfor ses en samlet oversigt over den seneste negative presseomtale og relaterede kritikpunkter:
| Dato | Kilde | Emne | Problemstilling |
|---|---|---|---|
| 2026 | DR Nyheder | Region Syddanmark anmelder DAO til Datatilsynet | Bekymring om håndtering af personoplysninger i forbindelse med postdistribution |
| 2025 til 2026 | Landsdækkende medier | Leveringskvalitet | Omtale af forsinkede eller fejlplacerede forsendelser |
| 2025 til 2026 | Forbrugeromtaler | Kundeservice | Kritik af svartider og håndtering af reklamationer |
Oversigten er baseret på offentlig presseomtale og forbrugerklager.
Valg af distributør er ikke alene et logistisk spørgsmål, men et complianceanliggende. Ved håndtering af personoplysninger skal virksomheder kunne dokumentere, at leverandøren lever op til kravene i databeskyttelsesforordningen.
Det indebærer blandt andet:
- Dokumentation for sikkerhedsprocedurer
- Klare ansvarsfordelinger
- Sporbarhed i distributionskæden
- Hurtig reaktion ved hændelser
Indtil den konkrete sag er fuldt oplyst og eventuelt afsluttet ved Datatilsynet, kan en midlertidig anvendelse af leverandører med fuld sporbarhed og dokumenteret processtyring være en forretningsmæssigt forsvarlig løsning.
Kilde: DR Nyheder, Jesper Christiansen, Advokat og Revisor Samvirket, AORS.DK
Fotokredit: DAO
Personer/Firmaer/Emner/#: #DAO, #RegionSyddanmark, #Datatilsynet, #GDPR, #Persondata, #Compliance, #PostNord, #UPS
Copyrights: Ⓒ 2025 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.
