Danmark: Danska cancerföreningen rekommenderas böter på 800 000 danska kronor

Den danska dataskyddsmyndigheten Datatilsynet har beslutat att polisanmäla danska cancerföreningen för att inte ha fastställt tillräckliga säkerhetsåtgärder enligt artikel 32 i dataskyddsförordningen (“GDPR”). Datatilsynet har rekommenderat böter på 800 000 danska kronor.

Ärendet bygger på fyra fall där danska cancerförbundet upptäckt att det inträffat personuppgiftsincidenter och rapporterat dessa till Datatilsynet. Två av incidenterna gällde stöld av datorer, medan två gällde nätfiskeattacker. Samtliga incidenter berodde enligt Datatilsynet på att danska cancerföreningen inte vidtagit lämpliga säkerhetsåtgärder vid behandlingen av personuppgifter. Minst 1448 individers uppgifter har äventyrats, och i flera fall äventyrades även känslig information i form av hälsouppgifter, inklusive individernas sjukdomshistoria.

Enligt Datatilsynet inträffade liknande händelser i augusti 2018, då danska cancerföreningen utsattes för hackarattacker i form av nätfiske och spoofing. I samband med denna attack ansåg danska cancerförbundet själva att de borde öka skyddet genom multifaktorautentisering (dvs att använda två eller flera faktorer för att logga in i ett system etc.), men detta genomfördes inte av föreningen. Konsekvensen blev att danska cancerföreningen inte kunde förhindra att obehöriga fått obehörig åtkomst till personuppgifter som lagrats i de anställdas Outlook eller lokalt på de anställdas datorer.

Som personuppgiftsansvarig måste man enligt Datatilsynet bedöma vilka åtgärder som är lämpliga i förhållande till den behandling som genomförs. När en personuppgiftsansvarig bedömt vad som är lämplig säkerhet är det viktigt att dessa åtgärder genomförs i verksamheten. Om men inte gör detta har en personuppgiftsansvarig själv bedömt att verksamhetens sätt att behandla personuppgifter inte är tillräckligt säkert enligt Datatilsynet. Det är därför särskilt viktigt att alla personuppgiftsansvariga gör en korrekt riskbedömning när verksamheten behandlar information om många människor och information om hälsotillstånd.

Datatilsynet är medveten om att danska cancerförbundet är en organisation där majoriteten av föreningens inkomster kommer från donationer och privata medel. Vid beräkningen och bedömningen av storleken på sanktionsavgifter har Datatilsynet endast tagit utgångspunkt i danska cancerförbundets inkomster från bland annat evenemang och försäljning av varor och andra produkter, vilket motsvarar cirka 10 procent av föreningens totala inkomst.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: 800 000 danska kronor

Mottagare: Danska cancerföreningen

Beslutsnummer: N/A

Beslutsdatum: 2021-09-29

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.