Datatilsynet har politianmeldt Civilstyrelsen og indstillet til en bøde på 100.000 kroner for at sjuske med persondatasikkerheden og bryde med GDPR.
Det skriver tilsynsmyndigheden i en pressemeddelelse.
Datatilsynet tog sagen op, efter en borger klagede over, at mere end 800 siders følsomme personoplysninger var forsvundet.
I forbindelse med en sag hos Civilstyrelsen havde klageren afleveret et usb-stik med de mange persondata. Da myndigheden sendte stikket tilbage til klageren, var det forsvundet fra kuverten.
Dataen var ikke krypteret, og Civilstyrelsen havde ikke tilstrækkelige retningslinjer for, hvordan sagsbehandlere skulle håndtere usb-stik med følsomme oplysninger. Da myndigheden opdagede bruddet den 26. august 2020, meldte man det ikke til Datatilsynet, selvom det er et lovkrav.
Dét skal udløse en bøde, mener Datatilsynet:
»Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige,« oplyser tilsynet i pressemeddelelsen.
Civilstyrelsen beklager
De manglende sikkerhedsforanstaltninger er specielt kritisabelt, når der er tale om en offentlig myndighed, som har til ansvar at håndtere meget beskyttelsesværdige data, skriver Datatilsynet:
»Der [er] tale om et nævn i en statslig myndighed, der generelt må antages at behandle store mængder følsomme og fortrolige oplysninger, og hvor det må anses for værende væsentlig, at der er udarbejdet en vejledning målrettet styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik.«
I en mail til Version2 beklager Lene Volke Roesen, direktør i Civilstyrelsen, episoden og oplyser, at man efter bruddet har skærpet retningslinjerne:
»Det er yderst beklageligt, at Civilstyrelsen i 2020 sendte et ikke-krypteret USB-stik med posten, som nu har ført til, at Datatilsynet har fundet det nødvendigt at politianmelde styrelsen. Civilstyrelsen havde på daværende tidspunkt retningslinjer for håndtering af USB-stik, men retningslinjerne var ikke tilstrækkeligt detaljerede og målrettede til styrelsens sagsbehandlere. Umiddelbart efter at styrelsens ledelse blev bekendt med sagen via klagen til Datatilsynet blev der fulgt op med skærpede og meget klare retningslinjer til medarbejderne om, hvordan de skal håndtere USB-stik.«
Manglende kryptering er et gammelt problem
Datatilsynet har tidligere indstillet Hørsholm Kommune til en bøde på 50.000 kroner og Gladsaxe Kommune til en bøde på 100.000 kroner for lignende overtrædelser af GDPR.
Begge kommuner fik stjålet computere med personoplysninger, og enhederne var ikke beskyttet med kryptering.
Dengang udtalte Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet, i pressemeddelelsen:
»Det er simpelt at tilgå de filer, der er gemt på computeren, når en computers harddisk ikke er krypteret, f.eks. ved at flytte harddisken til en anden computer. Når der er personoplysninger gemt lokalt på computeren, er det derfor særdeles uforsigtigt, at kommunerne ikke havde beskyttet computerne med kryptering.«
Datatilsynet oplyser, at man ikke har mulighed for at udtale sig om sagen med Civilstyrelsen, da det er en verserende straffesag.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
