Danmark: Lollands kommun polisanmäls och rekommenderas böter på 50 000 danska kronor

Datatilsynet polisanmäler Lollands kommun och rekommenderar böter på 50 000 danska kronor för att inte ha genomfört grundläggande säkerhetsåtgärder i form av oundvikliga krav på åtkomstkoder på kommunens mobila enheter.

I december 2020 fick Datatilsynet kännedom om situationen genom en anmälan om en personuppgiftsincident från Lollands kommun efter att en anställd i kommunen fått en jobbtelefon stulen. Via telefonen fanns tillgång till den anställdes jobbmailkonto som innehöll uppgifter om flera medborgares namn, personnummer, hälsouppgifter och misshandel.

Telefonen var inte skyddad av en kod eftersom den var avstängd. Därför fanns det tillgång till informationen som fanns på telefonen. Kommunen uppgav att det under ett antal år varit möjligt för anställda att ta bort de annars obligatoriska åtkomstkoderna, så att telefoner kunde användas utan kod. Kommunen hade omedelbart initierat återställande åtgärder i form av nya försiktighetsåtgärder och förändringar i den tekniska uppsättningen av utlämnade telefoner. 

Enligt Datatilsynet är Lollands kommuns behandling av personuppgifter inte förenlig med reglerna om lämplig säkerhet enligt dataskyddsförordningen (GDPR). Vid bedömningen har Datatilsynet bland annat framhållit att en personuppgiftsansvarig måste utgå från att inte alla anställda vid alla tillfällen följer interna riktlinjer om att mobila enheter alltid ska skyddas av lösenord. Ett riktigt effektivt skydd är alltså beroende av att ett sådant lösenord inte är möjlig att kringgå, till exempel genom att den enskilde användaren kan stänga av koden.

Det är också Datatilsynets bedömning att man generellt sett undersöker stulna mobila enheter för personuppgifter i större utsträckning än tidigare, såsom till exempel kreditkortsuppgifter och personnummer innan dessa kasseras vid en återförsäljning eller liknande.

Med tanke på riskerna för medborgarna kopplade till Lollands kommuns behandling av personuppgifter anser Datatilsynet att det är oförsvarligt att kommunen inte hade skyddat sina mobila enheter med ett lösenord som de anställda inte kunde stänga av själva.

Datatilsynet har i sin rekommendation till polisen bland annat betonat att det rör sig om en myndighet som generellt sett har ett särskilt ansvar för att skydda medborgarnas uppgifter, och att Lolland kommun i denna egenskap behandlar stora mängder konfidentiella och känsliga uppgifter, samt att det enligt Datatilsynets uppfattning saknas ett genomförande av en allmän och grundläggande teknisk åtgärd.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: 5o 000 danska kronor

Mottagare: Lollands kommun

Beslutsnummer: N/A

Beslutsdatum: 2022-08-11

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.