Danmark: SIRIUS advokater polisanmäls och rekommenderas böter på 500 000 danska kronor

Datatilsynet polisanmäler SIRIUS advokater och rekommenderar böter på 500 000 danska kronor för att inte ha implementerat grundläggande säkerhetsåtgärder vid uppsättning av fjärråtkomst till företagets IT-system.

I mars 2020 anmälde advokatbyrån en personuppgiftsincident till Datatilsynet efter att de blivit utsatta för en hackerattack. I attacken fick hackare tillgång till och krypterade advokatbyråns servrar som innehöll information om företagets klienter och motparter. Detta skapade en allvarlig risk för att informationen om personerna skulle hamna i obehöriga händer med potentiell skada för berörda personer som följd.

I system med ett stort antal känsliga personuppgifter ska den personuppgiftsansvarige enligt Datatilsynet ha särskilt kvalificerade säkerhetsåtgärder för att säkerställa att obehörig åtkomst till personuppgifter inte sker. Detta innebär att när en personuppgiftsansvarig skapar fjärråtkomst till sådana IT-system måste denne därför ha genomfört åtgärder för verifiering, som till exempel multifaktorautentisering.

Enligt Datatilsynet behandlar advokatbyråer mycket information som kräver särskilt skydd. I det här fallet saknade advokatbyrån grundläggande säkerhetsåtgärder vilket innebar att bland annat klienternas information äventyrats, vilket utgör en överträdelse av reglerna om säkerhet i dataskyddsförordningen (GDPR).

Vid bedömningen av att sanktionsavgifter bör utdömas framhöll Datatilsynet att advokatbyrån inte vidtagit de säkerhetsåtgärder som minst förväntas vid användning av fjärråtkomst till system som, om de äventyras, skulle innebära en hög risk för den registrerades rättigheter.

Datatilsynet har i sitt förslag till storleken på böterna bland annat framhållit överträdelsens art och allvar samt förordningens krav på att en sanktionsavgift i varje enskilt fall ska vara effektiv, stå i proportion till överträdelsen och ha en avskräckande effekt. Vidare har Datatilsynet bland annat kommit fram till att advokatbyrån varit i färd med att implementera en multifaktorautentiseringslösning vid tidpunkten för intrånget och att advokatbyrån agerat samarbetsvilligt i förhållande till avslöjandet av ärendet.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: 5oo 000 danska kronor

Mottagare: SIRIUS advokater

Beslutsnummer: N/A

Beslutsdatum: 2022-07-14

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.