Datatilsynet har fattat beslut om att rikta allvarlig kritik mot Silkeborgs kommun då kommunen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artiklarna 5.1 (f), 5.2 och 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Silkeborgs kommun skickat ett e-postmeddelande till Statistics Denmark Consulting innehållande en förteckning över personnummer, skolnamn och skolkoder för cirka 13 000 skolelever. E-postmeddelandet skickades osäkert utan tillräcklig kryptering på grund av ett mänskligt fel. Silkeborgs kommun har uppgett att TLS version 1.1 var implementerad i kommunen varför man presumerat att det aktuella e-postmeddelandet var krypterat. Silkeborgs kommun kunde dock inte dokumentera detta.
Enligt Datatilsynet är kryptering på transportskiktet med TLS inte tillräckligt säkert när många konfidentiella och/eller känsliga personuppgifter skickas eller vid upprepade överföringar av många personuppgifter. Vidare anser Datatilsynet att TLS 1.1 har kända säkerhetsbrister varför kraven på lämplig säkerhet för kryptering på transportskiktet inte kan anses vara uppfyllda.
Datatilsynet betonar att en kommun som behandlar stora mängder konfidentiella och/eller känsliga personuppgifter om medborgare ska se till att stora datamängder inte skickas på ett sätt där informationen är läsbar. Detta gäller även om en tredje part får e-postmeddelandet av misstag, varför kommunen ska ha rutiner som säkerställer att även innehållet i denna typ av försändelser krypteras, och inte bara krypteras på transportlagret med TLS. Denna skyldighet gäller särskilt när personuppgifterna avser barn som åtnjuter särskilt skydd i GDPR.
Silkeborgs kommun har enligt Datatilsynet inte kunnat förklara om e-postmeddelandet överhuvudtaget var krypterat eller inte.