Den 12. september 2022 blev Hørsholm Kommune idømt en bøde på 50.000 kr. for mangelfuld persondatasikkerhed. Kommunen fandtes ikke at have truffet passende tekniske foranstaltninger i forhold til de ansattes bærbare arbejdscomputere, som blev anvendt til behandling af personoplysninger og ikke var beskyttet med kryptering. Kommunen levede dermed ikke op til reglerne i GDPR om passende sikkerhedsforanstaltninger og blev idømt en bøde i overensstemmelse med Datatilsynets indstilling i sagen.
Datatilsynet blev opmærksom på sagen, da Hørsholm Kommune i efteråret 2019 anmeldte et brud på persondatasikkerheden i forbindelse med tyveri af en HR-medarbejders arbejdscomputer, hvorpå der lå oplysninger af bl.a. følsom og fortrolig karakter om ca. 1.600 ansatte hos kommunen. Kommunen havde tilladt behandling af personoplysninger lokalt på de enkelte arbejdscomputere uden om den Citrix-løsning, som ellers blev anvendt til sagsbehandling, da Citrix-løsningen ofte gik ned, hvilket besværliggjorde arbejdet på de mobile arbejdspladser. Uden beskyttelse af computeren med kryptering udgjorde tabet af personoplysninger en høj risiko for de 1.600 ansattes rettigheder.
Som dataansvarlig har man pligt til at sørge for et sikkerhedsniveau, der passer til bl.a. de risici, der med varierende sandsynlighed og alvor er for fysiske personers rettigheder og frihedsrettigheder ved den behandling af personoplysninger, man foretager. Retten var enig i Datatilsynets vurdering af, at kommunen burde have sikret sine ansattes bærbare datamedier med kryptering i den pågældende situation, og at organisatoriske foranstaltninger i form af instrukser til medarbejderne om at slette oplysninger efter endt behandling ikke var tilstrækkelige til at nedbringe risikoen for de registreredes rettigheder ved behandling som sket.
”Dommen er vigtig og fastslår, at man – særligt som myndighed – har et ansvar for at sikre, at helt basale tekniske foranstaltninger er på plads, når man behandler personoplysninger af bl.a. følsom og fortrolig karakter” siger Ditte Yde Amsnæs, kontorchef i Datatilsynet, og uddyber:
”Når der er problemer med de løsninger, som skal beskytte persondata, så har man som dataansvarlig en forpligtelse til at vurdere risikoen igen og overveje, om der er brug for andre foranstaltninger, så behandlingen af personoplysninger sker på en sikker måde under de nye omstændigheder. Det havde Hørsholm Kommune ikke gjort godt nok.”
Dommen er den første af flere lignende sager, som Datatilsynet har anmeldt til politiet. Gladsaxe Kommune og Favrskov Kommune er begge anmeldt for tilsvarende overtrædelser og er indstillet til bøder på henholdsvis 100.000 kr. og 75.000 kr. Læs mere om Gladsaxe Kommune-sagen her, og om Favrskov Kommune-sagen her.