Datatilsynet polisanmäler Lollands kommun och rekommenderar böter på 50 000 danska kronor för att inte ha genomfört grundläggande säkerhetsåtgärder i form av oundvikliga krav på åtkomstkoder på kommunens mobila enheter.
I december 2020 fick Datatilsynet kännedom om situationen genom en anmälan om en personuppgiftsincident från Lollands kommun efter att en anställd i kommunen fått en jobbtelefon stulen. Via telefonen fanns tillgång till den anställdes jobbmailkonto som innehöll uppgifter om flera medborgares namn, personnummer, hälsouppgifter och misshandel.
Telefonen var inte skyddad av en kod eftersom den var avstängd. Därför fanns det tillgång till informationen som fanns på telefonen. Kommunen uppgav att det under ett antal år varit möjligt för anställda att ta bort de annars obligatoriska åtkomstkoderna, så att telefoner kunde användas utan kod. Kommunen hade omedelbart initierat återställande åtgärder i form av nya försiktighetsåtgärder och förändringar i den tekniska uppsättningen av utlämnade telefoner.
Enligt Datatilsynet är Lollands kommuns behandling av personuppgifter inte förenlig med reglerna om lämplig säkerhet enligt dataskyddsförordningen (GDPR). Vid bedömningen har Datatilsynet bland annat framhållit att en personuppgiftsansvarig måste utgå från att inte alla anställda vid alla tillfällen följer interna riktlinjer om att mobila enheter alltid ska skyddas av lösenord. Ett riktigt effektivt skydd är alltså beroende av att ett sådant lösenord inte är möjlig att kringgå, till exempel genom att den enskilde användaren kan stänga av koden.
Det är också Datatilsynets bedömning att man generellt sett undersöker stulna mobila enheter för personuppgifter i större utsträckning än tidigare, såsom till exempel kreditkortsuppgifter och personnummer innan dessa kasseras vid en återförsäljning eller liknande.
Med tanke på riskerna för medborgarna kopplade till Lollands kommuns behandling av personuppgifter anser Datatilsynet att det är oförsvarligt att kommunen inte hade skyddat sina mobila enheter med ett lösenord som de anställda inte kunde stänga av själva.
Datatilsynet har i sin rekommendation till polisen bland annat betonat att det rör sig om en myndighet som generellt sett har ett särskilt ansvar för att skydda medborgarnas uppgifter, och att Lolland kommun i denna egenskap behandlar stora mängder konfidentiella och känsliga uppgifter, samt att det enligt Datatilsynets uppfattning saknas ett genomförande av en allmän och grundläggande teknisk åtgärd.