Favrskov Kommune indstillet til bøde på 75.000 kroner

Kommunal bærbar computer indeholdt ukrypterede personfølsomme oplysninger om borgere knyttet til botilbud

Artiklens øverste billede
Arkivfoto: Jeppe Rafn

Datatilsynet har anmeldt Favrskov Kommune til politiet og indstillet kommunen til en bøde på 75.000 kroner for at overtræde reglerne om databeskyttelse.

Sagen handler om, at der i august 2020 blev stjålet en bærbar computer ved et indbrud i kommunale lokaler. Computeren indeholdt navne og personnumre samt fortrolige og helbredsmæssige oplysninger om omkring 100 personer, der var knyttet til et botilbud, med nedsat fysisk eller psykisk funktionsevne.

Problemet var, at computerens harddisk ikke var krypteret, og hvis man har blot en smule IT-kendskab, kan man derfor få fingre i oplysningerne, som kommunen har pligt til at sikre ikke kommer i uvedkommendes hænder.

»Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren - i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort,« siger kontorchef Frederik Viksøe Siegumfeldt i en pressemeddelelse fra Datatilsynet.

Det var Favrskov Kommune selv, der som reglerne forskriver det, anmeldte sagen til Datatilsynet om, at der med tyveriet af den bærbare computer var sket et brud på persondatasikkerheden.

Datatilsynet konstaterede efterfølgende, at Favrskov Kommune i en længere periode forud for tyveriet/anmeldelsen ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere. Dette er der blevet lagt vægt på i forhold til udmåling af sanktion, ligesom Datatilsynet har lagt vægt på, at der på den stjålne computer blev behandlet helbredsmæssige oplysninger om personer med nedsat fysisk eller psykisk funktionsevne. Helbredsoplysninger bliver ligesom blandt andet religiøse og seksuelle oplysninger betragtet som personfølsomme oplysninger.

Samlet set vurderer Datatilsynet, at Favrskov Kommune ikke har haft et passende sikkerhedsniveau, og at der er tale om en alvorlig overtrædelse af databeskyttelsesforordningens artikel 32.

Favrskov Kommunes kommunaldirektør Jan Kallestrup bekræfter overfor Lokalavisen, at kommunen er blevet politianmeldt af Datatilsynet og afventer politiets vurdering af sagen. Han ønsker ikke at svare på uddybende spørgsmål, så længe sagen bliver politiefterforsket, men oplyser, at kommunen naturligvis har sat forskellige ting i værk.

Efter indførelsen af GDPR-reglerne i 2018 har Datatilsynet indstillet myndigheder og virksomheder til bøder i 17 sager. Kun én af sagerne har foreløbig været i retten (en sag mod IDdesign/Ilva), og den er blevet anket, oplyser Datatilsynet, så der findes så godt som ingen retspraksis indenfor GDPR.

Læs også

Annoncørbetalt indhold

Del artiklen