Politianmeldelse

Databehandler indstillet til bøde

Dato: 12-11-2024

Datatilsynet anmeldte i 2021 Uptime-IT ApS til politiet for ikke at have etableret tilstrækkelige sikkerhedsforanstaltninger som databehandler for et kiropraktorhus. Databehandleren blev indstillet til en bøde på 50.000 kroner.

Datatilsynet blev opmærksom på sagen, da kiropraktorhuset i 2020 anmeldte et brud på persondatasikkerheden. Bruddet vedrørte manglende tilgængelighed til personoplysninger, som følge af at en server blev krypteret under et ransomwareangreb. De personoplysninger, som kiropraktorhuset var dataansvarlig for, kunne ikke gendannes, da de løbende backups, som var foretaget, også var blevet krypteret af databehandleren. Krypteringsnøglen var ikke sikret, hvilket gjorde det umuligt at genskabe oplysningerne.

På baggrund af databehandleraftalen mellem kiropraktorhuset og Uptime-IT ApS vurderede Datatilsynet, at databehandleren havde ansvaret for at sikre evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. Databehandleren levede imidlertid ikke op til sin forpligtelse om at sikre et passende sikkerhedsniveau.

Manglende procedurer og tests

Datatilsynet fandt derudover, at databehandleren ikke – i overensstemmelse med det aftalte i databehandleraftalen –havde etableret en procedure til at afprøve, vurdere og evaluere, om sikkerhedskopien kunne anvendes til at genoprette adgangen til de behandlede oplysninger. Der var ikke udført nødvendige tests, som kunne have afsløret, at krypteringsnøglen til backupen ikke var tilgængelig. Denne mangel betød, at backup-løsningen ikke var effektiv og ikke virkede efter hensigten.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelses-forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

I denne sag lagde Datatilsynet blandt andet vægt på:

  • At en effektiv og virksom backup er en afgørende sikkerhedsforanstaltning.
  • At databehandleren håndterede følsomme oplysninger, herunder helbredsoplysninger og CPR-numre, om et stort antal registrerede.
  • At de manglende sikkerhedsforanstaltninger udsatte de registrerede for en unødig høj risiko.

Vil du vide mere?

Læs Datatilsynets katalog over sikkerhedsforanstaltninger - herunder om backup her

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Virksomheden blev ved dom den 12. november 2024 idømt en bøde på 40.000 kr.

Læs dommen her. 

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR