800 siders persondata forsvundet: Civilstyrelsen indstillet til GDPR-bøde på 100.000 kroner

17. maj kl. 04:552
usb-stik
Illustration: Proxima Studio.
Civilstyrelsen beklager de manglende sikkerhedsforanstaltninger, der har ført til et forsvundet usb-stik og en bødeindstilling fra Datatilsynet.
Artiklen er ældre end 30 dage

Datatilsynet har politianmeldt Civilstyrelsen og indstillet til en bøde på 100.000 kroner for at sjuske med persondatasikkerheden og bryde med GDPR.

Det skriver tilsynsmyndigheden i en pressemeddelelse.

Datatilsynet tog sagen op, efter en borger klagede over, at mere end 800 siders følsomme personoplysninger var forsvundet.

I forbindelse med en sag hos Civilstyrelsen havde klageren afleveret et usb-stik med de mange persondata. Da myndigheden sendte stikket tilbage til klageren, var det forsvundet fra kuverten.

Artiklen fortsætter efter annoncen

Dataen var ikke krypteret, og Civilstyrelsen havde ikke tilstrækkelige retningslinjer for, hvordan sagsbehandlere skulle håndtere usb-stik med følsomme oplysninger. Da myndigheden opdagede bruddet den 26. august 2020, meldte man det ikke til Datatilsynet, selvom det er et lovkrav.

Dét skal udløse en bøde, mener Datatilsynet:

»Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige,« oplyser tilsynet i pressemeddelelsen.

Civilstyrelsen beklager

De manglende sikkerhedsforanstaltninger er specielt kritisabelt, når der er tale om en offentlig myndighed, som har til ansvar at håndtere meget beskyttelsesværdige data, skriver Datatilsynet:

»Der [er] tale om et nævn i en statslig myndighed, der generelt må antages at behandle store mængder følsomme og fortrolige oplysninger, og hvor det må anses for værende væsentlig, at der er udarbejdet en vejledning målrettet styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik.«

I en mail til Version2 beklager Lene Volke Roesen, direktør i Civilstyrelsen, episoden og oplyser, at man efter bruddet har skærpet retningslinjerne:

»Det er yderst beklageligt, at Civilstyrelsen i 2020 sendte et ikke-krypteret USB-stik med posten, som nu har ført til, at Datatilsynet har fundet det nødvendigt at politianmelde styrelsen. Civilstyrelsen havde på daværende tidspunkt retningslinjer for håndtering af USB-stik, men retningslinjerne var ikke tilstrækkeligt detaljerede og målrettede til styrelsens sagsbehandlere. Umiddelbart efter at styrelsens ledelse blev bekendt med sagen via klagen til Datatilsynet blev der fulgt op med skærpede og meget klare retningslinjer til medarbejderne om, hvordan de skal håndtere USB-stik.«

Manglende kryptering er et gammelt problem

Datatilsynet har tidligere indstillet Hørsholm Kommune til en bøde på 50.000 kroner og Gladsaxe Kommune til en bøde på 100.000 kroner for lignende overtrædelser af GDPR.

Begge kommuner fik stjålet computere med personoplysninger, og enhederne var ikke beskyttet med kryptering.

Dengang udtalte Frederik Viksøe Siegumfeldt, kontorchef i Datatilsynet, i pressemeddelelsen:

»Det er simpelt at tilgå de filer, der er gemt på computeren, når en computers harddisk ikke er krypteret, f.eks. ved at flytte harddisken til en anden computer. Når der er personoplysninger gemt lokalt på computeren, er det derfor særdeles uforsigtigt, at kommunerne ikke havde beskyttet computerne med kryptering.«

Datatilsynet oplyser, at man ikke har mulighed for at udtale sig om sagen med Civilstyrelsen, da det er en verserende straffesag.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
17. maj kl. 11:08

Er der efterhånden nogen offentlige institutioner, som ikke har fået sager, påtaler og kritik for sjusk med (person)datasikkerheden?

1
17. maj kl. 08:11

Når der er relativt fast definerede minimumskrav til myndigheders kryptering i forbindelse med TLS 1.2 mails og WPA2 wifi, forstår jeg ikke hvorfor der er en tilbageholdenhed med et statsligt minimumskrav til kryptering at rest på (mere eller mindre bærbare) harddiske, når nu "kryptering er så nemt at implementere".

... ellers er resultatet af uvisheden jo bare flere bøder, indtil vi langsomt ranmer et eller andet vagt defineret minimums-niveau.