Gemt

50.000 kr. i bøde for mangelfuld sikkerhed på arbejdscomputere

11. november 2022

Det var i strid med databeskyttelsesreglerne, at en kommune ikke havde krypteret sine arbejdscomputere, der indeholdt personoplysninger om de ansatte. Kommunen blev derfor idømt en bøde på 50.000 kr. for mangelfuld datasikkerhed.

Det siger reglerne
Det følger af databeskyttelsesreglerne, at den dataansvarlige har pligt til at sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger med henblik på, dels at uvedkommende ikke kan få adgang til de personoplysninger, som den dataansvarlige opbevarer, dels at der ikke kan ske andre sikkerhedsbrud som følge af forkert håndtering af systemer mv. Ved passende forstås, at der må foretages en konkret vurdering af de risici, som kan opstå ved behandling af oplysningerne, og at der etableres foranstaltninger, der kan sikre, at der ikke sker brud på datasikkerheden.

En teknisk foranstaltning er eksempelvis firewall eller kryptering. En organisatorisk foranstaltning er eksempelvis udarbejdelse og implementering af relevante databeskyttelsespolitikker som sikkerhedspolitikker for personaleadministration.

Sagen kort
En kommune anmeldte et brud på datasikkerheden til Datatilsynet, da en medarbejder fik stjålet sin arbejdscomputer, som indeholdt omkring 1.600 medarbejderes følsomme og fortrolige personoplysninger, der ikke var blevet krypteret.

Datatilsynet indstillede kommunen til en bøde på 50.000 kr. for manglende behandlingssikkerhed. Datatilsynet lagde vægt på, at den manglende kryptering var en generel foranstaltning, og at der var tale om en myndighed.

Byretten var enig med Datatilsynet i, at det ikke var tilstrækkeligt, at kommunen havde etableret en organisatorisk foranstaltning ved at instruere medarbejderne i at slette oplysninger, når de var færdige med at behandle dem. Kommunen burde tillige have foretaget tekniske foranstaltninger i form af kryptering af oplysningerne, og ved undladelse heraf havde kommunen ikke levet op til databeskyttelsesreglerne om passende sikkerhedsforanstaltninger.

Kommunen blev herefter idømt en bøde på 50.000 kr.

Dansk Erhverv bemærker
Dommen fra byretten understreger vigtigheden i, at man som virksomhed sikrer sig, at der er etableret sikkerhedsforanstaltninger, som passer til de risici, som er forbundet med behandlingen af de konkrete personoplysninger, eksempelvis ved etablering af kryptering.

Datatilsynet har anmeldt flere lignende sager, og det må derfor forventes, at der vil komme et øget fokus på virksomheders persondatasikkerhed og sikkerhedsforanstaltninger.

Kontakt Dansk Erhverv, hvis du har spørgsmål vedrørende databeskyttelse.