Politianmeldelse

SIRIUS advokater indstilles til bøde

Dato: 14-07-2022

Særligt beskyttelsesværdige personoplysninger blev kompromittereret, da SIRIUS advokater blev udsat for et hackerangreb. På grund af manglende sikkerhedsforanstaltninger har Datatilsynet politianmeldt virksomheden og indstillet til en bøde på 500.000 kr.

SIRIUS advokater er blevet indstillet til en bøde på 500.000 kr. for ikke at have gennemført helt grundlæggende sikkerhedsforanstaltninger ved opsætning af fjernadgang til virksomhedens it-systemer med personoplysninger af særlig beskyttelsesværdig karakter.

SIRIUS advokater anmeldte i marts 2020 et brud på persondatasikkerheden til Datatilsynet, efter de blev udsat for et hackerangreb. Ved angrebet fik hackere adgang til og krypterede advokatfirmaets servere, som indeholdt oplysninger om virksomhedens klienter og modparter. Herved opstod der alvorlig risiko for, at oplysningerne om personerne kom uvedkommende i hænde med potentiel skade for de pågældende til følge.

Mangel på grundlæggende sikkerhedsforanstaltninger

”Advokatfirmaer behandler i sagens natur mange oplysninger, som kræver en særlig beskyttelse. I dette tilfælde har SIRIUS advokater manglet basale sikkerhedsforanstaltninger, og det betød desværre, at bl.a. klienternes oplysninger blev kompromitteret. Man kan ikke gardere sig 100 % mod hackerangreb, men reglerne i GDPR kræver, at man gør en indsats for at undgå det, der svarer til risikoen,” siger Betty Husted, fuldmægtig i Datatilsynet.

I systemer med et stort antal personoplysninger af særlig beskyttelsesværdig karakter, hvor kompromittering vil indebære en høj risiko for de registreredes rettigheder, skal den dataansvarlige have særligt kvalificerede sikkerhedsforanstaltninger til sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at SIRIUS advokater ikke havde implementeret de sikkerhedsforanstaltninger, der som minimum forventes, når man benytter sig af fjernadgang til systemer, der ved kompromittering vil indebære en høj risiko for de registreredes rettigheder.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor og forordningens krav om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endvidere har det blandt andet indgået, at SIRIUS advokater på tidspunktet for bruddet var i gang med at implementere en multifaktor-autentifikationsløsning. Datatilsynet har samtidig lagt vægt på, at SIRIUS advokater har ageret særdeles samarbejdsvillig i forhold til sagens oplysning.

Læs mere

Her kan du læse mere om sikkerhed.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.