Favrskov Kommune indstilles til bøde

Dato: 16-09-2021

Datatilsynet anmelder Favrskov Kommune til politiet og indstiller til en bøde på 75.000 kr., da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Den 19. august 2020 modtog Datatilsynet en anmeldelse fra Favrskov Kommune om et brud på persondatasikkerheden. Af anmeldelsen fremgik, at en bærbar computer – indeholdende et program, der blev anvendt til at sikre overblik over kommunens botilbudsressourcer og derfor indeholdt oplysninger om navne og personnumre for omkring 100 personer med nedsat fysisk og/eller psykisk funktionsevne – var blevet stjålet i forbindelse med et indbrud i kommunens lokaler.

Den pågældende computers harddisk var ikke krypteret, og det omtalte program, der indeholdt fortrolige og følsomme personoplysninger, var ikke forsynet med sikkerhedsforanstaltninger, der kunne logge anvendelsen af programmet med de fortrolige og følsomme personoplysninger.

Datatilsynet konstaterede under behandling af sagen, at Favrskov Kommune i en længere periode forud for den 12. august 2020 ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere, hvilket medførte et utilstrækkeligt sikkerhedsniveau.

Krav om passende sikkerhed

Kravene i artikel 32 indebærer, at Favrskov Kommune har pligt til at sikre, at de oplysninger som behandles af kommunens medarbejdere, ikke kommer til uvedkommendes kendskab. Det er Datatilsynets klare opfattelse, at Favrskov Kommune ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.

Det er almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret. Det kan f.eks. være ved at flytte harddisken til en anden computer, hvorved man kan komme uden om både den tekniske sikkerhedsforanstaltning, der består af brugernavn og adgangskode, samt eventuelle adgangskoder opsat i computerens BIOS.

Hertil kommer, at det er tilsynets vurdering, at stjålne mobile enheder i almindelighed i højere grad end tidligere bliver gennemgået for personoplysninger, som f.eks. kreditkortoplysninger og personnumre, inden disse bortskaffes f.eks. ved videresalg. Dette skyldes til dels det voksende undergrundsmarked, hvor disse typer oplysninger kan videresælges, og dels den øgede digitalisering af samfundet i almindelighed, hvormed mulighederne for udnyttelse af personoplysninger vokser.

Kryptering af personoplysninger er en almindeligt anerkendt sikkerhedsforanstaltning, der endda er specifikt nævnt som eksempel på en teknisk foranstaltning i artikel 32, stk. 1, litra a.

”Kommunen behandler hver dag i stort omfang personoplysninger af følsom karakter om kommunens borgere. Som borger kan man ikke fravælge kommunens behandling af sine personoplysninger. Det betyder, at kommunen har et stort ansvar for netop at undgå, at oplysningerne stilles til skue for uvedkommende,” siger kontorchef Frederik Viksøe Siegumfeldt, og fortsætter:

”Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren – i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort.”

Efter en samlet vurdering er det således Datatilsynets opfattelse, at Favrskov Kommune ikke har gennemført passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er for de registreredes rettigheder, og at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Favrskov Kommune forud for den 12. august 2020 ikke havde foretaget kryptering af harddiskene på kommunens bærbare computere. Endvidere har tilsynet lagt vægt på, at der på den pågældende computer blev behandlet fortrolige og helbredsmæssige oplysninger om personer med nedsat fysisk eller psykisk funktionsevne og som var knyttet til et botilbud.

Vil du vide mere?

Undrer du dig over, hvordan man beskytter personoplysninger? Få et overblik her.

Du kan også læse om, hvilke typer af personoplysninger der findes her.

Har du spørgsmål?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR