Danmark: Datatilsynet uttrycker kritik mot Silkeborgs kommun för okrypterat e-postmeddelande

Datatilsynet har fattat beslut om att rikta allvarlig kritik mot Silkeborgs kommun då kommunen inte vidtagit tillräckliga säkerhetsåtgärder vid behandling av personuppgifter vilket strider mot artiklarna 5.1 (f), 5.2 och 32.1 i dataskyddsförordningen (GDPR).

Av beslutet framgår att Silkeborgs kommun skickat ett e-postmeddelande till Statistics Denmark Consulting innehållande en förteckning över personnummer, skolnamn och skolkoder för cirka 13 000 skolelever. E-postmeddelandet skickades osäkert utan tillräcklig kryptering på grund av ett mänskligt fel. Silkeborgs kommun har uppgett att TLS version 1.1 var implementerad i kommunen varför man presumerat att det aktuella e-postmeddelandet var krypterat. Silkeborgs kommun kunde dock inte dokumentera detta.

Enligt Datatilsynet är kryptering på transportskiktet med TLS inte tillräckligt säkert när många konfidentiella och/eller känsliga personuppgifter skickas eller vid upprepade överföringar av många personuppgifter. Vidare anser Datatilsynet att TLS 1.1 har kända säkerhetsbrister varför kraven på lämplig säkerhet för kryptering på transportskiktet inte kan anses vara uppfyllda.

Datatilsynet betonar att en kommun som behandlar stora mängder konfidentiella och/eller känsliga personuppgifter om medborgare ska se till att stora datamängder inte skickas på ett sätt där informationen är läsbar. Detta gäller även om en tredje part får e-postmeddelandet av misstag, varför kommunen ska ha rutiner som säkerställer att även innehållet i denna typ av försändelser krypteras, och inte bara krypteras på transportlagret med TLS. Denna skyldighet gäller särskilt när personuppgifterna avser barn som åtnjuter särskilt skydd i GDPR.

Silkeborgs kommun har enligt Datatilsynet inte kunnat förklara om e-postmeddelandet överhuvudtaget var krypterat eller inte.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Silkeborgs kommun

Beslutsnummer: 2021-442-11601

Beslutsdatum: 2021-11-25

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.