Datatilsynet har bötfällt Østre Totens kommun med 4 miljoner norska kronor för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att Østre Totens kommun utsattes för en cyberattack i januari 2021, som lett till att kommunens data krypterats och att säkerhetskopior raderats. En större mängd uppgifter publicerades senare på den mörka webben (Dark Web eller Darknet). Cirka 30 000 dokument påverkades av attacken. Dokumenten innehöll bland annat uppgifter om etniskt ursprung, politisk åsikt, religiös övertygelse, fackföreningstillhörighet, sexuell läggning, hälsotillstånd samt bankuppgifter för kommunens invånare och anställda.
Datatilsynets utredning visade att kommunen haft grundläggande brister i säkerheten för personuppgifter och relaterade interna kontroller. Kommunen hade bland annat inte använt tvåfaktorsautentisering när man loggade in i systemen och saknade lämpliga säkerhetskopieringssystem.
I efterdyningarna av attacken har Østre Totens kommun enligt Datatilsynet genomfört ett omfattande arbete med att etablera fungerande och säkra IT -system. Detta har kostat kommunen minst 32 miljoner norska kronor hittills. Kommunen har också lämnat bra information till invånarna om alla steg i processen.
Utifrån de grundläggande bristerna i kommunens säkerhet för personuppgifter och relaterade interna kontroller uppger Datatilsynet att de i princip skulle meddela en betydligt högre sanktionsavgift. Efter en samlad bedömning, sett mot bakgrund av kommunens ekonomiska situation och det arbete som har gjorts i efterhand, har Datatilsynet bedömt 4 miljoner norska kronor som en korrekt summa.
Datatilsynet uppger vidare att Østre Totens kommun också är skyldig att fastställa och dokumentera att ett lämpligt ledningssystem för informationssäkerhet och säkerhet för personuppgifter har implementerats. Bland annat måste kommunen genomföra risk- och sårbarhetsanalyser för alla viktiga system och lösningar i infrastrukturen, i syfte att identifiera behovet av riskreducerande åtgärder.