Politianmeldelse

Odsherred Kommune indstilles til bøde

Dato: 11-01-2024

Datatilsynet har anmeldt Odsherred Kommune til politiet, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Odsherred Kommune er blevet indstillet til en bøde på 100.000 kr. - 200.000 kr. for ikke at have etableret tilstrækkelige og passende sikkerhedsforanstaltninger.

Datatilsynet blev opmærksom på sagen, da Odsherred Kommune den 1. september 2022 anmeldte et brud på persondatasikkerheden. Det fremgik, at en arbejdscomputer, som indeholdt personoplysninger af følsom karakter, oplysninger om personnummer samt oplysninger om børn, var blevet stjålet i forbindelse med et tyveri i en medarbejders hjem. Computerens harddisk var ikke krypteret.

Datatilsynet konstaterede under behandlingen af sagen, at Odsherred Kommune i en årrække, som i hvert fald strakte sig fra den 18. maj 2018 og frem til den 10. september 2022, ikke havde sørget for at kryptere kommunens ca. 1200 bærbare computere, hvilket Datatilsynet betragter som en alvorlig overtrædelse af forordningens krav til behandlingssikkerhed.

Krav om passende sikkerhed

Dataansvarlige har pligt til at sikre, at de oplysninger, som behandles, ikke kommer til uvedkommendes kendskab. Det er forholdsvist simpelt at tilgå filer, der er gemt på en bærbar computer, når harddisken ikke er krypteret - f.eks. ved at flytte harddisken til en anden computer. Hertil kommer, at det er tilsynets vurdering, at stjålne mobile enheder i højere grad end tidligere bliver gennemgået for personoplysninger som f.eks. kreditkortoplysninger og personnumre, inden de eksempelvis sælges videre. Dette skyldes til dels det voksende undergrundsmarked, hvor disse typer oplysninger kan videresælges, og dels den øgede digitalisering af samfundet i almindelighed, hvormed mulighederne for udnyttelse af personoplysninger vokser.

Kryptering af personoplysninger er en almindeligt anerkendt sikkerhedsforanstaltning og er bl.a.  specifikt nævnt som eksempel på en teknisk foranstaltning i databeskyttelsesforordningen. Det er Datatilsynets opfattelse, at kryptering af bærbare enheder (herunder bærbare computere), hvor der behandles personoplysninger, må anses for at være en ikke alene relevant, men også oftest både en nødvendig og påkrævet sikkerhedsforanstaltning.

"Som borgere kan vi ikke fravælge, at kommunen behandler vores oplysninger. Derfor er det særligt vigtigt, at vi kan være trygge ved, at der bliver passet godt på dem. Det har desværre ikke været tilfældet i denne sag, hvor en basal foranstaltning som kryptering har manglet - ikke blot på den computer, der blev stjålet, men på alle kommunens computere. Det ser vi med stor alvor på," siger Ditte Yde Amsnæs, kontorchef i Datatilsynet.

Datatilsynet har tidligere indstillet til bøde i lignende sager angående manglende kryptering af bærbare enheder. Her kan du læse om Favrskov Kommune, Gladsaxe Kommune og Hørsholm Kommune og Civilstyrelsen.

Indstilling til bøde

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Odsherred Kommune forud for den 10. september 2022 ikke havde foretaget kryptering af harddiskene på kommunens 1200 bærbare computere. Endvidere har tilsynet lagt vægt på, at det er en væsentlig og basal sikkerhedsforanstaltning at sikre kryptering af bærbare enheder, herunder computere. Hertil må kryptering anses for at være en almindelig anvendt teknologi, der har været best practice siden 2007. Tilsynet har yderligere tillagt det betydning, at kryptering i mange år har været en udbredt og anerkendt og generel teknisk foranstaltning, som let bør kunne imødegås af den dataansvarlige.

Vil du vide mere?

Du kan nedenfor læse mere om de anbefalinger og krav om kryptering af diske på enheder, der udleveres til medarbejdere:

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Sagen er afgjort den 23. april 2024 med et bødeforelæg på 100.000 kr. til kommunen.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR

Hvordan kan denne type brud undgås?

Tab af transportable enheder med ukrypteret data er et typisk brud på persondatasikkerheden. Her kan du læs om nogle af de sikkerhedsforanstaltninger, der kan forebygge denne type brud.