Datatilsynet blev opmærksom på sagen, da kiropraktorhuset i 2020 anmeldte et brud på persondatasikkerheden. Bruddet vedrørte manglende tilgængelighed til personoplysninger, som følge af at en server blev krypteret under et ransomwareangreb. De personoplysninger, som kiropraktorhuset var dataansvarlig for, kunne ikke gendannes, da de løbende backups, som var foretaget, også var blevet krypteret af databehandleren. Krypteringsnøglen var ikke sikret, hvilket gjorde det umuligt at genskabe oplysningerne.
På baggrund af databehandleraftalen mellem kiropraktorhuset og Uptime-IT ApS vurderede Datatilsynet, at databehandleren havde ansvaret for at sikre evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. Databehandleren levede imidlertid ikke op til sin forpligtelse om at sikre et passende sikkerhedsniveau.
Manglende procedurer og tests
Datatilsynet fandt derudover, at databehandleren ikke – i overensstemmelse med det aftalte i databehandleraftalen –havde etableret en procedure til at afprøve, vurdere og evaluere, om sikkerhedskopien kunne anvendes til at genoprette adgangen til de behandlede oplysninger. Der var ikke udført nødvendige tests, som kunne have afsløret, at krypteringsnøglen til backupen ikke var tilgængelig. Denne mangel betød, at backup-løsningen ikke var effektiv og ikke virkede efter hensigten.
Hvorfor politianmeldelse?
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelses-forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
I denne sag lagde Datatilsynet blandt andet vægt på:
- At en effektiv og virksom backup er en afgørende sikkerhedsforanstaltning.
- At databehandleren håndterede følsomme oplysninger, herunder helbredsoplysninger og CPR-numre, om et stort antal registrerede.
- At de manglende sikkerhedsforanstaltninger udsatte de registrerede for en unødig høj risiko.
Vil du vide mere?
Læs Datatilsynets katalog over sikkerhedsforanstaltninger - herunder om backup her.