Lolland Kommune er blevet indstillet til en bøde på 50.000 kr. for ikke at have gennemført helt basale sikkerhedsforanstaltninger i form af uomgåelige krav til adgangskoder på kommunens mobile enheder.
”Kommuner behandler store mængder følsomme oplysninger om borgerne, og derfor har de også et ansvar for at passe ordentligt på disse oplysninger. Mobile enheder bliver af og til stjålet, glemt eller tabt, og hvis uvedkommende uden videre kan få adgang til de oplysninger, der er på dem, så lever man ikke op til det ansvar,” siger Betty Husted, fuldmægtig i Datatilsynet.
Datatilsynet blev opmærksom på forholdet gennem en anmeldelse fra Lolland Kommune i december 2020, da en medarbejder i kommunen fik stjålet en arbejdstelefon. Via telefonen var der adgang til medarbejderens arbejdsmailkonto, hvor der lå oplysninger om flere borgeres navne, cpr-numre, helbredsoplysninger og misbrugsforhold.
Telefonen var ikke beskyttet af en kode, da denne var slået fra. Derfor var der adgang til de oplysninger, der lå på telefonen. Kommunen oplyste, at det gennem en årrække havde været muligt for medarbejdere at fjerne de ellers obligatoriske adgangskoder, så telefoner kunne bruges uden anvendelse af kode. Kommunen havde straks iværksat genoprettende tiltag i form af nye forholdsregler og ændringer i den tekniske opsætning af udleverede telefoner.
Manglede tekniske foranstaltninger
Datatilsynet finder, at Lolland Kommunes behandling af personoplysninger ikke var i overensstemmelse med reglerne om passende sikkerhed.
Datatilsynet har ved vurderingen bl.a. lagt vægt på, at en dataansvarlig må påregne, at ikke alle ansatte til enhver tid følger interne retningslinjer om, at mobile enheder altid skal være beskyttet af en adgangskode. Reelt effektiv beskyttelse er således betinget af, at en sådan adgangskode ikke kan omgås, f.eks. ved at den enkelte bruger kan slå koden fra.
Det er endvidere Datatilsynets vurdering, at stjålne mobile enheder i almindelighed i højere grad end tidligere bliver gennemgået for personoplysninger, som f.eks. kreditkortoplysninger og cpr-numre, inden disse bortskaffes, f.eks. ved videresalg.
Henset til de risici for borgerne, der knytter sig til Lolland Kommunes behandling af personoplysninger, er det Datatilsynets opfattelse, at det er uforsvarligt, at kommunen ikke havde beskyttet sine mobile enheder med en adgangskode, som de ansatte ikke selv kunne slå fra.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagen i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken reaktion der efter tilsynets opfattelse er den mest hensigtsmæssige.
Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at der er tale om en offentlig myndighed, som generelt har et særligt ansvar for at beskytte borgernes oplysninger, og at Lolland Kommune i den egenskab behandler store mængder fortrolige og følsomme oplysninger, samt at der efter tilsynets opfattelse er tale om manglende implementering af en generel og basal teknisk foranstaltning.