Lejre Kommune er meldt til politiet for at sjusk med følsomme persondata.
Datatilsynet har indstillet kommunen til en bøde på 50.000 kr. for ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger, skriver tilsynet i en meddelelse.
Kommunens Center for Børn og Unge har ifølge tilsynet haft en fast praksis om at uploade mødereferater med særdeles følsomme personoplysning til en kommunal medarbejderportal.
På medarbejderportalen har der potentielt været adgang til oplysningerne for en stor del af kommunens ansatte, uanset om de pågældende medarbejdere arbejdede med den type af sager, skriver Datatilsynet.
I samme ombæring udtaler Datatilsynet alvorlig kritik af Lejre Kommune for ikke at leve op til kravet om at underrette de berørte, hvis data har været delt.
Adgangskontrol er minimum
»Det er vores generelle opfattelse, at kommuners behandling af oplysninger af fortrolig karakter som minimum skal beskyttes med adgangskontrol,« udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet i meddelelsen.
»Som udgangspunkt er det kun medarbejdere med et arbejdsbetinget behov, som bør have adgang til oplysningerne. Hertil kommer, at logning – dvs. maskinel registrering af alle anvendelser – normalt vil være en nødvendig og passende sikkerhedsforanstaltning, når man som kommune behandler sådanne oplysninger.«
Datatilsynet skriver, at beløbet på 50.000 er baseret på typen og mængden af personoplysninger, samt kommunens størrelse og driftsbevilling.
Sagen skal nu undersøges af politiet, som skal tage stilling til, om der er grundlag for en sigtelse, og derefter vil en domstol afgøre en eventuel bødestraf.