Danmark: Lollands kommun polisanmäls och rekommenderas böter på 50 000 danska kronor

Datatilsynet polisanmäler Lollands kommun och rekommenderar böter på 50 000 danska kronor för att inte ha genomfört grundläggande säkerhetsåtgärder i form av oundvikliga krav på åtkomstkoder på kommunens mobila enheter.

I december 2020 fick Datatilsynet kännedom om situationen genom en anmälan om en personuppgiftsincident från Lollands kommun efter att en anställd i kommunen fått en jobbtelefon stulen. Via telefonen fanns tillgång till den anställdes jobbmailkonto som innehöll uppgifter om flera medborgares namn, personnummer, hälsouppgifter och misshandel.

Telefonen var inte skyddad av en kod eftersom den var avstängd. Därför fanns det tillgång till informationen som fanns på telefonen. Kommunen uppgav att det under ett antal år varit möjligt för anställda att ta bort de annars obligatoriska åtkomstkoderna, så att telefoner kunde användas utan kod. Kommunen hade omedelbart initierat återställande åtgärder i form av nya försiktighetsåtgärder och förändringar i den tekniska uppsättningen av utlämnade telefoner. 

Enligt Datatilsynet är Lollands kommuns behandling av personuppgifter inte förenlig med reglerna om lämplig säkerhet enligt dataskyddsförordningen (GDPR). Vid bedömningen har Datatilsynet bland annat framhållit att en personuppgiftsansvarig måste utgå från att inte alla anställda vid alla tillfällen följer interna riktlinjer om att mobila enheter alltid ska skyddas av lösenord. Ett riktigt effektivt skydd är alltså beroende av att ett sådant lösenord inte är möjlig att kringgå, till exempel genom att den enskilde användaren kan stänga av koden.

Det är också Datatilsynets bedömning att man generellt sett undersöker stulna mobila enheter för personuppgifter i större utsträckning än tidigare, såsom till exempel kreditkortsuppgifter och personnummer innan dessa kasseras vid en återförsäljning eller liknande.

Med tanke på riskerna för medborgarna kopplade till Lollands kommuns behandling av personuppgifter anser Datatilsynet att det är oförsvarligt att kommunen inte hade skyddat sina mobila enheter med ett lösenord som de anställda inte kunde stänga av själva.

Datatilsynet har i sin rekommendation till polisen bland annat betonat att det rör sig om en myndighet som generellt sett har ett särskilt ansvar för att skydda medborgarnas uppgifter, och att Lolland kommun i denna egenskap behandlar stora mängder konfidentiella och känsliga uppgifter, samt att det enligt Datatilsynets uppfattning saknas ett genomförande av en allmän och grundläggande teknisk åtgärd.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: 5o 000 danska kronor

Mottagare: Lollands kommun

Beslutsnummer: N/A

Beslutsdatum: 2022-08-11

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.