Kommune sjuskede med handicappedes data: Får GDPR-smæk på 75.000 kroner
Datatilsynet har politianmeldt Favrskov Kommune og indstillet til en bøde på 75.000 kroner for at lække persondata på omkring 100 borgere med enten et fysisk eller psykisk handicap, skriver man på tilsynets hjemmeside.
Sidste august meldte Favrskov selv til tilsynet, at nogen havde stjålet en computer fra et af kommunens lokaler. Der lå et program på, som man bruger til at få et overblik over myndighedens botilbudsressourcer, og derfor var der også navne og personnumre på de omkring 100 registrerede.
Men kommunen har hverken krypteret computerens harddisk eller implementeret sikkerhedsforanstaltninger, der kan logge, når nogen bruger programmet. Og det burde man vide, skaber en risiko for de registreredes databeskyttelse:
»Det er almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret. Det kan f.eks. være ved at flytte harddisken til en anden computer, hvorved man kan komme uden om både den tekniske sikkerhedsforanstaltning, der består af brugernavn og adgangskode, samt eventuelle adgangskoder opsat i computerens BIOS,« skriver Datatilsynet i sin afgørelse.
Datatilsynet: »Altafgørende, at kommunerne beskytter computerne med kryptering«
Ikke nok med, at det sikkerhedsmæssigt er let at tilgå oplysningerne, så er det også noget, som de kriminelle gør mere og mere.
Ifølge Datatilsynet er det blevet mere almindeligt for tyve at undersøge computere, mobiltelefoner, tablets eller andre enheder for persondata, inden de sælges videre. Der er nemlig et voksende undergrundsmarked, hvor man kan få penge for data.
Derfor skulle kommunen i det mindste have krypteret harddisken, for det er endda nævnt som en specifik teknisk foranstaltning i GDPR (artikel 32 stk. 1 litra a), som man kan tage i brug som dataansvarlig, skriver Datatilsynet.
»Kommunen behandler hver dag i stort omfang personoplysninger af følsom karakter om kommunens borgere. Som borger kan man ikke fravælge kommunens behandling af sine personoplysninger. Det betyder, at kommunen har et stort ansvar for netop at undgå at oplysningerne stilles til skue for uvedkommende,« fortæller Frederik Viksøe Siegumfeldt, kontorchef hos Datatilsynet, i afgørelsen og fortsætter:
»Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren – i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort.«
Det er ikke kun den ene computer, der har manglet sikkerhed, for forud for august 2020 havde ingen af kommunens computere krypterede harddiske. Det lægger tilsynet vægt på i beslutningen om at give en bøde for den ifølge Datatilsynet ‘alvorlige overtrædelse’ af GDPR.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
