Datatilsynet har beslutat att polisanmäla Favrskov kommun då kommunen inte uppfyllt kraven på en lämplig säkerhetsnivå enligt artikel 32 i dataskyddsförordningen (“GDPR”). Datatilsynet rekommenderar böter på 75 000 danska kronor.
Den 19 augusti 2020 tog Datatilsynet emot en anmälan om en inträffad personuppgiftsincident från Favrskov kommun. Enligt anmälan har en bärbar dator stulits i samband med ett inbrott i kommunens lokaler. På den bärbara datorn fanns ett program som användes för att ge Favrskov kommun en överblick över kommunens bostadsbestånd varför det fanns information om namn och personnummer på cirka 100 personer med fysisk och/eller psykisk funktionsnedsättning. Datornas hårddisk var inte krypterad, och programmet i fråga, som innehöll konfidentiell och känslig personlig information, var inte försedd med säkerhetsåtgärder som kunde logga användningen av programmet med konfidentiell och känslig personlig information.
Under behandlingen av ärendet upptäckte Datatilsynet att Favrskov kommun, långt före den 12 augusti 2020, inte säkerställt att hårddiskarna på kommunens bärbara datorer var krypterade, vilket resulterade i en otillräcklig säkerhetsnivå. Kraven i artikel 32 GDPR innebär att Favrskov kommun har en skyldighet att se till att informationen som behandlas av kommunens anställda inte kommer till obehörigas kännedom. Enligt Datatilsynet har Favrskov kommun inte uppfyllt kraven på en lämplig säkerhetsnivå i artikel 32 GDPR.
Enligt Datatilsynet är det allmänt känt bland dem som arbetar professionellt med IT att det är enkelt att komma åt filer som lagras på en dator när hårddisken inte är krypterad. Därutöver anser Datatilsynet att stulna mobila enheter i allmänhet granskas för personuppgifter i större utsträckning än tidigare, till exempel efter kreditkortsinformation och personnummer, då denna typ av information kan säljas vidare. Kryptering av personuppgifter är enligt Datatilsynet en allmänt accepterad säkerhetsåtgärd. Kryptering nämns även som ett exempel på en teknisk säkerhetsåtgärd i artikel 32.1 (a) GDPR.
Kommunen behandlar dagligen personuppgifter av känslig karaktär om kommunens medborgare. Som medborgare kan man inte välja bort kommunens behandling av sina personuppgifter. Det betyder att kommunen enligt Datatilsynet har ett stort ansvar för att förhindra att informationen görs tillgänglig för obehöriga. När en dators hårddisk inte är krypterad är det enkelt att komma åt filerna som lagras på datorn. Enligt Datatilsynet är det därför avgörande att kommunerna skyddar datorerna med kryptering vilket Favrskov kommun inte gjort.
Vid en samlad bedömning anser Datatilsynet att Favrskov kommun inte har vidtagit lämpliga tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för riskerna för de registrerades rättigheter, och att detta är ett allvarligt brott mot artikel 32 GDPR.
Vid bedömningen av om böter ska dömas ut eller inte betonar Datatilsynet att Favrskov kommun inte krypterat hårddiskarna på kommunens bärbara datorer före den 12 augusti 2020. Datatilsynet betonar vidare att konfidentiell information och hälsoinformation behandlats på den aktuella datorn om personer med fysisk eller psykisk funktionsnedsättning. Mot bakgrund av detta rekommenderar Datatilsynet 75 000 danska kronor i böter.