Search
Close this search box.

Danmark: Datatilsynet polisanmäler Odsherreds kommun och rekommenderar böter

Datatilsynet har polisanmält Odsherreds kommun eftersom myndigheten anser att kommunen inte har uppfyllt kraven på en adekvat säkerhetsnivå i den allmänna dataskyddsförordningen (GDPR).

Datatilsynet fick kännedom om fallet när Odsherreds kommun rapporterat en personuppgiftsincident den 1 september 2022. Det visade sig att en arbetsdator, som innehöll känsliga personuppgifter, personnummer och information om barn, hade stulits i samband med en stöld från en anställds hem. Datorns hårddisk var inte krypterad.

Under handläggningen av ärendet fann Datatilsynet att Odsherreds kommun under ett antal år, i vart fall från den 18 maj 2018 till den 10 september 2022, inte krypterat kommunens ca 1 200 bärbara datorer, vilket Datatilsynet anser vara en allvarlig överträdelse av GDPR:s krav på säkerhet.

Personuppgiftsansvariga är skyldiga att se till att de uppgifter som behandlas inte kommer till obehörigas kännedom. Enligt Datatilsynet är det relativt enkelt att komma åt filer som lagras på en bärbar dator när hårddisken inte är krypterad, till exempel genom att flytta hårddisken till en annan dator. Datatilsynet bedömer vidare att stulna mobila enheter i allt större utsträckning analyseras med avseende på personuppgifter såsom kreditkortsinformation och personnummer innan de säljs vidare. Detta beror dels på den växande svarta marknaden där denna typ av information kan säljas vidare, dels på den ökade digitaliseringen av samhället i stort, vilket ökar möjligheterna för exploatering av personuppgifter.

Kryptering av personuppgifter är enligt Datatilsynet en allmänt erkänd säkerhetsåtgärd och nämns specifikt som ett exempel på en teknisk åtgärd i GDPR. Datatilsynet anser att kryptering av bärbara enheter, inklusive bärbara datorer, där personuppgifter behandlas inte bara måste anses vara en relevant, utan också ofta både en nödvändig och krävd säkerhetsåtgärd.

Mot bakgrund av ovanstående har Odsherreds kommun rekommenderats att betala böter på 100 000 – 200 000 danska kronor för att inte ha vidtagit tillräckliga och lämpliga säkerhetsåtgärder. Datatilsynet har tidigare rekommenderat böter i liknande fall när det gäller bristande kryptering av bärbara enheter.

Vid bedömningen av om en sanktionsavgift ska åläggas har Datatilsynet lagt vikt vid att Odsherreds kommun före den 10 september 2022 inte krypterat hårddiskarna i kommunens 1 200 bärbara datorer. Datatilsynet har vidare framhållit att det är en väsentlig och grundläggande säkerhetsåtgärd att säkerställa kryptering av bärbara enheter, däribland datorer. Kryptering måste dessutom anses vara en allmänt använd teknik som har varit bästa praxis sedan 2007. Datatilsynet har vidare fäst vikt vid att kryptering under många år har varit en utbredd, erkänd och allmän teknisk åtgärd som den personuppgiftsansvarige lätt bör kunna motverka.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.