Norge: Østre Totens kommun bötfälls med 4 miljoner norska kronor för bristande säkerhet

Datatilsynet har bötfällt Østre Totens kommun med 4 miljoner norska kronor för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Østre Totens kommun utsattes för en cyberattack i januari 2021, som lett till att kommunens data krypterats och att säkerhetskopior raderats. En större mängd uppgifter publicerades senare på den mörka webben (Dark Web eller Darknet). Cirka 30 000 dokument påverkades av attacken. Dokumenten innehöll bland annat uppgifter om etniskt ursprung, politisk åsikt, religiös övertygelse, fackföreningstillhörighet, sexuell läggning, hälsotillstånd samt bankuppgifter för kommunens invånare och anställda.

Datatilsynets utredning visade att kommunen haft grundläggande brister i säkerheten för personuppgifter och relaterade interna kontroller. Kommunen hade bland annat inte använt tvåfaktorsautentisering när man loggade in i systemen och saknade lämpliga säkerhetskopieringssystem.

I efterdyningarna av attacken har Østre Totens kommun enligt Datatilsynet genomfört ett omfattande arbete med att etablera fungerande och säkra IT -system. Detta har kostat kommunen minst 32 miljoner norska kronor hittills. Kommunen har också lämnat bra information till invånarna om alla steg i processen.

Utifrån de grundläggande bristerna i kommunens säkerhet för personuppgifter och relaterade interna kontroller uppger Datatilsynet att de i princip skulle meddela en betydligt högre sanktionsavgift. Efter en samlad bedömning, sett mot bakgrund av kommunens ekonomiska situation och det arbete som har gjorts i efterhand, har Datatilsynet bedömt 4 miljoner norska kronor som en korrekt summa.

Datatilsynet uppger vidare att Østre Totens kommun också är skyldig att fastställa och dokumentera att ett lämpligt ledningssystem för informationssäkerhet och säkerhet för personuppgifter har implementerats. Bland annat måste kommunen genomföra risk- och sårbarhetsanalyser för alla viktiga system och lösningar i infrastrukturen, i syfte att identifiera behovet av riskreducerande åtgärder.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 5 GDPR, art. 32 GDPR

Sanktionsavgift: 4 000 000 norska kroner

Mottagare: Østre Totens kommun

Beslutsnummer: 21/00480-10

Beslutsdatum: 2021-10-18

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.