Datatilsynet blev opmærksom på sagen, da en klagers partsrepræsentant klagede over Civilstyrelsens håndtering af klagers oplysninger.
Af sagen fremgår det, at Civilstyrelsen v/Erstatningsnævnet returnerede et USB-stik til klager, der indeholdt mere end 800 siders oplysninger om klager af følsom og fortrolig karakter, der ved klagers modtagelse var bortkommet.
USB-stikket var ikke krypteret, og styrelsen havde i øvrigt ikke retningslinjer målrettet styrelsens sagsbehandlere med hensyn til enhver håndtering af udtagelige lagringsmidler og bærbare medier.
Civilstyrelsen blev bekendt med bruddet den 26. august 2020, men anmeldte herefter ikke bruddet til Datatilsynet i strid med reglerne i databeskyttelsesforordningens artikel 33.
Manglende tekniske og/eller organisatoriske foranstaltninger
Datatilsynet finder, at Civilstyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.
Datatilsynet har ved vurderingen lagt vægt på, at kryptering af udtagelige lagringsmidler, der indeholder personoplysninger (herunder USB-stik) må anses for at være en nødvendig og påkrævet sikkerhedsforanstaltning.
I forlængelse heraf har tilsynet tillagt det betydning, at udtagelige lagringsmidler med personoplysninger har en skærpet risikoprofil i forhold til håndteringen af personoplysninger, og at kryptering er en foranstaltning, der er relativt let for den dataansvarlige at gennemføre.
Herudover har Datatilsynet lagt vægt på, at styrelsen ikke havde retningslinjer målrettet og kendt af styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik, herunder afsendelse.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.
Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige.
Derudover er der tale om et nævn i en statslig myndighed, der generelt må antages at behandle store mængder følsomme og fortrolige oplysninger, og hvor det må anses for værende væsentlig, at der er udarbejdet en vejledning målrettet styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik.
Vil du vide mere?
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.