Danmark: Datatilsynet uttrycker kritik mot Silkeborgs kommun för okrypterat e-postmeddelande

Den danska dataskyddsmyndigheten Datatilsynet har fattat beslut om att rikta allvarlig kritik mot Silkeborgs kommun då kommunen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artiklarna 5.1 (f), 5.2 och 32.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Silkeborgs kommun skickat ett e-postmeddelande till Statistics Denmark Consulting innehållande en förteckning över personnummer, skolnamn och skolkoder för cirka 13 000 skolelever. E-postmeddelandet skickades osäkert utan tillräcklig kryptering på grund av ett mänskligt fel. Silkeborgs kommun har uppgett att TLS version 1.1 var implementerad i kommunen varför man presumerat att det aktuella e-postmeddelandet var krypterat. Silkeborgs kommun kunde dock inte dokumentera detta.

Enligt Datatilsynet är kryptering på transportskiktet med TLS inte tillräckligt säkert när många konfidentiella och/eller känsliga personuppgifter skickas eller vid upprepade överföringar av många personuppgifter. Vidare anser Datatilsynet att TLS 1.1 har kända säkerhetsbrister varför kraven på lämplig säkerhet för kryptering på transportskiktet inte kan anses vara uppfyllda.

Datatilsynet betonar att en kommun som behandlar stora mängder konfidentiella och/eller känsliga personuppgifter om medborgare ska se till att stora datamängder inte skickas på ett sätt där informationen är läsbar. Detta gäller även om en tredje part får e-postmeddelandet av misstag, varför kommunen ska ha rutiner som säkerställer att även innehållet i denna typ av försändelser krypteras, och inte bara krypteras på transportlagret med TLS. Denna skyldighet gäller särskilt när personuppgifterna avser barn som åtnjuter särskilt skydd i GDPR.

Silkeborgs kommun har enligt Datatilsynet inte kunnat förklara om e-postmeddelandet överhuvudtaget var krypterat eller inte.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Silkeborgs kommun

Beslutsnummer: 2021-442-11601

Beslutsdatum: 2021-11-25

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.