Kommune sjuskede med handicappedes data: Får GDPR-smæk på 75.000 kroner

Favrskov Kommune er politianmeldt og indstillet til en bøde på 75.000 kroner, for ikke at sikre borgere med et handicaps personoplysninger ordentligt. Billedet viser rådhusets administrationsbygning i Hinnerup. Illustration: Favrskov Kommune
Favrskov Kommune er blevet politianmeldt af Datatilsynet og indstillet til en GDPR-bøde, efter en tyv sidste år stjal en pc med en ukrypteret harddisk. Der lå nemlig personoplysninger omkring 100 borgere med et fysisk eller psykisk handicap.

Datatilsynet har politianmeldt Favrskov Kommune og indstillet til en bøde på 75.000 kroner for at lække persondata på omkring 100 borgere med enten et fysisk eller psykisk handicap, skriver man på tilsynets hjemmeside.

Sidste august meldte Favrskov selv til tilsynet, at nogen havde stjålet en computer fra et af kommunens lokaler. Der lå et program på, som man bruger til at få et overblik over myndighedens botilbudsressourcer, og derfor var der også navne og personnumre på de omkring 100 registrerede.

Men kommunen har hverken krypteret computerens harddisk eller implementeret sikkerhedsforanstaltninger, der kan logge, når nogen bruger programmet. Og det burde man vide, skaber en risiko for de registreredes databeskyttelse:

»Det er almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret. Det kan f.eks. være ved at flytte harddisken til en anden computer, hvorved man kan komme uden om både den tekniske sikkerhedsforanstaltning, der består af brugernavn og adgangskode, samt eventuelle adgangskoder opsat i computerens BIOS,« skriver Datatilsynet i sin afgørelse.

Læs også: Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet

Datatilsynet: »Altafgørende, at kommunerne beskytter computerne med kryptering«

Ikke nok med, at det sikkerhedsmæssigt er let at tilgå oplysningerne, så er det også noget, som de kriminelle gør mere og mere.

Ifølge Datatilsynet er det blevet mere almindeligt for tyve at undersøge computere, mobiltelefoner, tablets eller andre enheder for persondata, inden de sælges videre. Der er nemlig et voksende undergrundsmarked, hvor man kan få penge for data.

Derfor skulle kommunen i det mindste have krypteret harddisken, for det er endda nævnt som en specifik teknisk foranstaltning i GDPR (artikel 32 stk. 1 litra a), som man kan tage i brug som dataansvarlig, skriver Datatilsynet.

»Kommunen behandler hver dag i stort omfang personoplysninger af følsom karakter om kommunens borgere. Som borger kan man ikke fravælge kommunens behandling af sine personoplysninger. Det betyder, at kommunen har et stort ansvar for netop at undgå at oplysningerne stilles til skue for uvedkommende,« fortæller Frederik Viksøe Siegumfeldt, kontorchef hos Datatilsynet, i afgørelsen og fortsætter:

»Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren – i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort.«

Det er ikke kun den ene computer, der har manglet sikkerhed, for forud for august 2020 havde ingen af kommunens computere krypterede harddiske. Det lægger tilsynet vægt på i beslutningen om at give en bøde for den ifølge Datatilsynet ‘alvorlige overtrædelse’ af GDPR.

Læs også: Kæmpebøde til Whatsapp: Skal betale 1,7 milliarder kroner for brud på GDPR

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere