Politianmeldelse

SIRIUS advokater indstilles til bøde

Dato: 14-07-2022

Særligt beskyttelsesværdige personoplysninger blev kompromittereret, da SIRIUS advokater blev udsat for et hackerangreb. På grund af manglende sikkerhedsforanstaltninger har Datatilsynet politianmeldt virksomheden og indstillet til en bøde på 500.000 kr.

SIRIUS advokater er blevet indstillet til en bøde på 500.000 kr. for ikke at have gennemført helt grundlæggende sikkerhedsforanstaltninger ved opsætning af fjernadgang til virksomhedens it-systemer med personoplysninger af særlig beskyttelsesværdig karakter.

SIRIUS advokater anmeldte i marts 2020 et brud på persondatasikkerheden til Datatilsynet, efter de blev udsat for et hackerangreb. Ved angrebet fik hackere adgang til og krypterede advokatfirmaets servere, som indeholdt oplysninger om virksomhedens klienter og modparter. Herved opstod der alvorlig risiko for, at oplysningerne om personerne kom uvedkommende i hænde med potentiel skade for de pågældende til følge.

Mangel på grundlæggende sikkerhedsforanstaltninger

”Advokatfirmaer behandler i sagens natur mange oplysninger, som kræver en særlig beskyttelse. I dette tilfælde har SIRIUS advokater manglet basale sikkerhedsforanstaltninger, og det betød desværre, at bl.a. klienternes oplysninger blev kompromitteret. Man kan ikke gardere sig 100 % mod hackerangreb, men reglerne i GDPR kræver, at man gør en indsats for at undgå det, der svarer til risikoen,” siger Betty Husted, fuldmægtig i Datatilsynet.

I systemer med et stort antal personoplysninger af særlig beskyttelsesværdig karakter, hvor kompromittering vil indebære en høj risiko for de registreredes rettigheder, skal den dataansvarlige have særligt kvalificerede sikkerhedsforanstaltninger til sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at SIRIUS advokater ikke havde implementeret de sikkerhedsforanstaltninger, der som minimum forventes, når man benytter sig af fjernadgang til systemer, der ved kompromittering vil indebære en høj risiko for de registreredes rettigheder.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor og forordningens krav om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endvidere har det blandt andet indgået, at SIRIUS advokater på tidspunktet for bruddet var i gang med at implementere en multifaktor-autentifikationsløsning. Datatilsynet har samtidig lagt vægt på, at SIRIUS advokater har ageret særdeles samarbejdsvillig i forhold til sagens oplysning.

Læs mere

Her kan du læse mere om sikkerhed.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR