Norge: Østre Totens kommun bötfälls med 4 miljoner norska kronor för bristande säkerhet

Den norska dataskyddsmyndigheten Datatilsynet har bötfällt Østre Totens kommun med 4 miljoner norska kronor för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”).

Av beslutet framgår att Østre Totens kommun utsattes för en cyberattack i januari 2021, som lett till att kommunens data krypterats och att säkerhetskopior raderats. En större mängd uppgifter publicerades senare på den mörka webben (Dark Web eller Darknet). Cirka 30 000 dokument påverkades av attacken. Dokumenten innehöll bland annat uppgifter om etniskt ursprung, politisk åsikt, religiös övertygelse, fackföreningstillhörighet, sexuell läggning, hälsotillstånd samt bankuppgifter för kommunens invånare och anställda.

Datatilsynets utredning visade att kommunen haft grundläggande brister i säkerheten för personuppgifter och relaterade interna kontroller. Kommunen hade bland annat inte använt tvåfaktorsautentisering när man loggade in i systemen och saknade lämpliga säkerhetskopieringssystem.

I efterdyningarna av attacken har Østre Totens kommun enligt Datatilsynet genomfört ett omfattande arbete med att etablera fungerande och säkra IT -system. Detta har kostat kommunen minst 32 miljoner norska kronor hittills. Kommunen har också lämnat bra information till invånarna om alla steg i processen.

Utifrån de grundläggande bristerna i kommunens säkerhet för personuppgifter och relaterade interna kontroller uppger Datatilsynet att de i princip skulle meddela en betydligt högre sanktionsavgift. Efter en samlad bedömning, sett mot bakgrund av kommunens ekonomiska situation och det arbete som har gjorts i efterhand, har Datatilsynet bedömt 4 miljoner norska kronor som en korrekt summa.

Datatilsynet uppger vidare att Østre Totens kommun också är skyldig att fastställa och dokumentera att ett lämpligt ledningssystem för informationssäkerhet och säkerhet för personuppgifter har implementerats. Bland annat måste kommunen genomföra risk- och sårbarhetsanalyser för alla viktiga system och lösningar i infrastrukturen, i syfte att identifiera behovet av riskreducerande åtgärder.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på norska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.