Datatilsynet har polisanmält Lejre kommun och rekommenderar böter med 50 000 danska kronor för att inte ha fullgjort sina skyldigheter som personuppgiftsansvarig och implementerat lämpliga säkerhetsåtgärder enligt dataskyddsförordningen (GDPR).
Lejre kommuns avdelning Center for Children and Young People har regelbundet laddat upp protokoll från möten som innehåller personuppgifter av känslig karaktär, inklusive information om medborgare under 18 år, på kommunens personalportal. Personalportalen var tillgänglig för en stor del av kommunens anställda, oavsett om de anställda arbetade med denna typ av ärenden eller inte.
Enligt Datatilsynet ska kommuners behandling av konfidentiell information åtminstone skyddas med åtkomstkontroll, och i princip är det bara anställda med arbetsrelaterade behov som ska ha tillgång till informationen. Dessutom är loggning av alla användningar vanligtvis en nödvändig och lämplig säkerhetsåtgärd vid behandlingen av sådan information.
Vid fastställandet av böterna betonade Datatilsynet karaktären av överträdelsen (brist på lämpliga säkerhetsåtgärder), samt arten och mängden personuppgifter som varit föremål för överträdelsen. Vidare la Datatilsynet tonvikt på kommunens storlek vad gäller befolkning och samlade driftsbidrag.