Datatilsynet anmäler Civilstyrelsen till polisen och rekommenderar böter på 100 000 danska kronor. Myndigheten bedömer att Civilstyrelsen inte har följt kraven på en lämplig säkerhetsnivå i dataskyddsförordningen (GDPR).
Datatilsynet fick kännedom om fallet när en registrerads partsrepresentant klagat över Civilstyrelsens hantering av den registrerades uppgifter. Av ärendet framgår att Civilstyrelsen v/Erstatningsnævnet lämnat tillbaka ett USB-minne som innehöll mer än 800 sidor med information om klagomål av känslig och konfidentiell karaktär som gått förlorad. USB-minnet var inte krypterat, och Civilstyrelsen hade inga riktlinjer riktade till myndighetens handläggare angående eventuell hantering av flyttbara lagringsenheter och bärbara media. Civilstyrelsen fick kännedom om överträdelsen den 26 augusti 2020, men anmälde inte intrånget till Datatilsynet i strid med reglerna i artikel 33 GDPR.
Enligt Datatilsynet har Civilstyrelsens behandling av personuppgifter inte skett i enlighet med reglerna om lämplig säkerhet. Datatilsynet har i sin bedömning framhållit att kryptering av flyttbara lagringsenheter som innehåller personuppgifter, inklusive USB-minnen, måste ses som en nödvändig och erforderlig säkerhetsåtgärd. Datatilsynet har också fäst vikt vid att flyttbara lagringsmedel med personuppgifter har en skärpt riskprofil i förhållande till hanteringen av personuppgifter och att kryptering är en åtgärd som är relativt lätt för den personuppgiftsansvarige att genomföra. Datatilsynet har även framhållit att Civilstyrelsen inte haft riktlinjer riktade till och kända av myndighetens handläggare i samband med eventuell hantering av USB-minnen, inklusive utskick.
Datatilsynet har i sin rekommendation till polisen bland annat betonat att det är en väsentlig säkerhetsåtgärd att ha rutiner som täcker alla behandlingar och att säkerställa kryptering av USB-minnen. Dessutom är kryptering sedan många år en utbredd och erkänd teknisk åtgärd som enkelt bör användas av den personuppgiftsansvarige. Därutöver måste en styrelse för en statlig myndighet generellt sett antas behandla stora mängder känsliga och konfidentiella uppgifter, och det måste enligt Datatilsynet anses väsentligt att det har utarbetats en vägledning riktad till myndighetens handläggare i förhållande till eventuell hantering av USB-minnen.