Odsherred Kommune er blevet indstillet til en bøde på 100.000 kr. - 200.000 kr. for ikke at have etableret tilstrækkelige og passende sikkerhedsforanstaltninger.
Datatilsynet blev opmærksom på sagen, da Odsherred Kommune den 1. september 2022 anmeldte et brud på persondatasikkerheden. Det fremgik, at en arbejdscomputer, som indeholdt personoplysninger af følsom karakter, oplysninger om personnummer samt oplysninger om børn, var blevet stjålet i forbindelse med et tyveri i en medarbejders hjem. Computerens harddisk var ikke krypteret.
Datatilsynet konstaterede under behandlingen af sagen, at Odsherred Kommune i en årrække, som i hvert fald strakte sig fra den 18. maj 2018 og frem til den 10. september 2022, ikke havde sørget for at kryptere kommunens ca. 1200 bærbare computere, hvilket Datatilsynet betragter som en alvorlig overtrædelse af forordningens krav til behandlingssikkerhed.
Krav om passende sikkerhed
Dataansvarlige har pligt til at sikre, at de oplysninger, som behandles, ikke kommer til uvedkommendes kendskab. Det er forholdsvist simpelt at tilgå filer, der er gemt på en bærbar computer, når harddisken ikke er krypteret - f.eks. ved at flytte harddisken til en anden computer. Hertil kommer, at det er tilsynets vurdering, at stjålne mobile enheder i højere grad end tidligere bliver gennemgået for personoplysninger som f.eks. kreditkortoplysninger og personnumre, inden de eksempelvis sælges videre. Dette skyldes til dels det voksende undergrundsmarked, hvor disse typer oplysninger kan videresælges, og dels den øgede digitalisering af samfundet i almindelighed, hvormed mulighederne for udnyttelse af personoplysninger vokser.
Kryptering af personoplysninger er en almindeligt anerkendt sikkerhedsforanstaltning og er bl.a. specifikt nævnt som eksempel på en teknisk foranstaltning i databeskyttelsesforordningen. Det er Datatilsynets opfattelse, at kryptering af bærbare enheder (herunder bærbare computere), hvor der behandles personoplysninger, må anses for at være en ikke alene relevant, men også oftest både en nødvendig og påkrævet sikkerhedsforanstaltning.
"Som borgere kan vi ikke fravælge, at kommunen behandler vores oplysninger. Derfor er det særligt vigtigt, at vi kan være trygge ved, at der bliver passet godt på dem. Det har desværre ikke været tilfældet i denne sag, hvor en basal foranstaltning som kryptering har manglet - ikke blot på den computer, der blev stjålet, men på alle kommunens computere. Det ser vi med stor alvor på," siger Ditte Yde Amsnæs, kontorchef i Datatilsynet.
Datatilsynet har tidligere indstillet til bøde i lignende sager angående manglende kryptering af bærbare enheder. Her kan du læse om Favrskov Kommune, Gladsaxe Kommune og Hørsholm Kommune og Civilstyrelsen.
Indstilling til bøde
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Odsherred Kommune forud for den 10. september 2022 ikke havde foretaget kryptering af harddiskene på kommunens 1200 bærbare computere. Endvidere har tilsynet lagt vægt på, at det er en væsentlig og basal sikkerhedsforanstaltning at sikre kryptering af bærbare enheder, herunder computere. Hertil må kryptering anses for at være en almindelig anvendt teknologi, der har været best practice siden 2007. Tilsynet har yderligere tillagt det betydning, at kryptering i mange år har været en udbredt og anerkendt og generel teknisk foranstaltning, som let bør kunne imødegås af den dataansvarlige.
Vil du vide mere?
Du kan nedenfor læse mere om de anbefalinger og krav om kryptering af diske på enheder, der udleveres til medarbejdere:
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.