Datatilsynet har beslutat att polisanmäla danska cancerföreningen för att inte ha fastställt tillräckliga säkerhetsåtgärder enligt artikel 32 i dataskyddsförordningen (“GDPR”). Datatilsynet har rekommenderat böter på 800 000 danska kronor.
Ärendet bygger på fyra fall där danska cancerförbundet upptäckt att det inträffat personuppgiftsincidenter och rapporterat dessa till Datatilsynet. Två av incidenterna gällde stöld av datorer, medan två gällde nätfiskeattacker. Samtliga incidenter berodde enligt Datatilsynet på att danska cancerföreningen inte vidtagit lämpliga säkerhetsåtgärder vid behandlingen av personuppgifter. Minst 1448 individers uppgifter har äventyrats, och i flera fall äventyrades även känslig information i form av hälsouppgifter, inklusive individernas sjukdomshistoria.
Enligt Datatilsynet inträffade liknande händelser i augusti 2018, då danska cancerföreningen utsattes för hackarattacker i form av nätfiske och spoofing. I samband med denna attack ansåg danska cancerförbundet själva att de borde öka skyddet genom multifaktorautentisering (dvs att använda två eller flera faktorer för att logga in i ett system etc.), men detta genomfördes inte av föreningen. Konsekvensen blev att danska cancerföreningen inte kunde förhindra att obehöriga fått obehörig åtkomst till personuppgifter som lagrats i de anställdas Outlook eller lokalt på de anställdas datorer.
Som personuppgiftsansvarig måste man enligt Datatilsynet bedöma vilka åtgärder som är lämpliga i förhållande till den behandling som genomförs. När en personuppgiftsansvarig bedömt vad som är lämplig säkerhet är det viktigt att dessa åtgärder genomförs i verksamheten. Om men inte gör detta har en personuppgiftsansvarig själv bedömt att verksamhetens sätt att behandla personuppgifter inte är tillräckligt säkert enligt Datatilsynet. Det är därför särskilt viktigt att alla personuppgiftsansvariga gör en korrekt riskbedömning när verksamheten behandlar information om många människor och information om hälsotillstånd.
Datatilsynet är medveten om att danska cancerförbundet är en organisation där majoriteten av föreningens inkomster kommer från donationer och privata medel. Vid beräkningen och bedömningen av storleken på sanktionsavgifter har Datatilsynet endast tagit utgångspunkt i danska cancerförbundets inkomster från bland annat evenemang och försäljning av varor och andra produkter, vilket motsvarar cirka 10 procent av föreningens totala inkomst.