Favrskov Kommune indstilles til bøde

Dato: 16-09-2021

Datatilsynet anmelder Favrskov Kommune til politiet og indstiller til en bøde på 75.000 kr., da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Den 19. august 2020 modtog Datatilsynet en anmeldelse fra Favrskov Kommune om et brud på persondatasikkerheden. Af anmeldelsen fremgik, at en bærbar computer – indeholdende et program, der blev anvendt til at sikre overblik over kommunens botilbudsressourcer og derfor indeholdt oplysninger om navne og personnumre for omkring 100 personer med nedsat fysisk og/eller psykisk funktionsevne – var blevet stjålet i forbindelse med et indbrud i kommunens lokaler.

Den pågældende computers harddisk var ikke krypteret, og det omtalte program, der indeholdt fortrolige og følsomme personoplysninger, var ikke forsynet med sikkerhedsforanstaltninger, der kunne logge anvendelsen af programmet med de fortrolige og følsomme personoplysninger.

Datatilsynet konstaterede under behandling af sagen, at Favrskov Kommune i en længere periode forud for den 12. august 2020 ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere, hvilket medførte et utilstrækkeligt sikkerhedsniveau.

Krav om passende sikkerhed

Kravene i artikel 32 indebærer, at Favrskov Kommune har pligt til at sikre, at de oplysninger som behandles af kommunens medarbejdere, ikke kommer til uvedkommendes kendskab. Det er Datatilsynets klare opfattelse, at Favrskov Kommune ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.

Det er almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret. Det kan f.eks. være ved at flytte harddisken til en anden computer, hvorved man kan komme uden om både den tekniske sikkerhedsforanstaltning, der består af brugernavn og adgangskode, samt eventuelle adgangskoder opsat i computerens BIOS.

Hertil kommer, at det er tilsynets vurdering, at stjålne mobile enheder i almindelighed i højere grad end tidligere bliver gennemgået for personoplysninger, som f.eks. kreditkortoplysninger og personnumre, inden disse bortskaffes f.eks. ved videresalg. Dette skyldes til dels det voksende undergrundsmarked, hvor disse typer oplysninger kan videresælges, og dels den øgede digitalisering af samfundet i almindelighed, hvormed mulighederne for udnyttelse af personoplysninger vokser.

Kryptering af personoplysninger er en almindeligt anerkendt sikkerhedsforanstaltning, der endda er specifikt nævnt som eksempel på en teknisk foranstaltning i artikel 32, stk. 1, litra a.

”Kommunen behandler hver dag i stort omfang personoplysninger af følsom karakter om kommunens borgere. Som borger kan man ikke fravælge kommunens behandling af sine personoplysninger. Det betyder, at kommunen har et stort ansvar for netop at undgå, at oplysningerne stilles til skue for uvedkommende,” siger kontorchef Frederik Viksøe Siegumfeldt, og fortsætter:

”Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren – i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort.”

Efter en samlet vurdering er det således Datatilsynets opfattelse, at Favrskov Kommune ikke har gennemført passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er for de registreredes rettigheder, og at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Favrskov Kommune forud for den 12. august 2020 ikke havde foretaget kryptering af harddiskene på kommunens bærbare computere. Endvidere har tilsynet lagt vægt på, at der på den pågældende computer blev behandlet fortrolige og helbredsmæssige oplysninger om personer med nedsat fysisk eller psykisk funktionsevne og som var knyttet til et botilbud.

Vil du vide mere?

Undrer du dig over, hvordan man beskytter personoplysninger? Få et overblik her.

Du kan også læse om, hvilke typer af personoplysninger der findes her.

Har du spørgsmål?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.