Politianmeldelse

Endnu en kommune indstillet til bøde for manglende kryptering

Dato: 14-08-2024

Datatilsynet har politianmeldt Vejen Kommune for utilstrækkelige sikkerhedsforanstaltninger. Tre stjålne computere med oplysninger om børn var ikke krypterede - og det samme viste sig at være tilfældet med op mod 300 andre computere i kommunen. Datatilsynet indskærper, at kryptering meget ofte er påkrævet.

Datatilsynet har politianmeldt Vejen Kommune og indstillet til en bøde på 200.000 kroner. Det er konklusionen på en sag, der startede, da kommunen anmeldte et brud på persondatasikkerheden, fordi fem bærbare computere var blevet stjålet.

Computerne var kun beregnet til brug for lærere og elever som led i undervisningen. I praksis blev de imidlertid også benyttet af lærere til at lave statusbeskrivelse af elever, klasseoverleveringer mv, og derfor lå der bl.a. flere oplysninger om elever med særlige udfordringer på computerne. Ingen af computerne var krypterede.

I Datatilsynets efterfølgende undersøgelse af sagen kom det frem, at der var op mod 300 computere i kommunen, som risikerede at blive anvendt på samme måde, og som heller ikke var krypterede.

"Jeg må sige, at jeg er overrasket over, at vi bliver ved med at se disse sager i kommunerne. Vi har fået underretninger om denne slags brud gennem flere år, vi har været ude og advare flere gange, og vi har også indstillet til bøde i tidligere sager," siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, og fortsætter:

"Kryptering er en helt basal sikkerhedsforanstaltning, som er relativt nem og ikke særlig omkostningsfuld at implementere. Vi opfordrer derfor alle kommuner til at tage et grundigt kig på deres bærbare enheder og få styr på kryptering nu."

Der har været fokus på netop kryptering i kommunerne i modenhedstilsyn i både 2021 og 2022, og Datatilsynet har tidligere indstillet til bøde i sager angående manglende kryptering af bærbare enheder i Favrskov Kommune, Gladsaxe Kommune, Hørsholm Kommune, Odsherred Kommune og Civilstyrelsen. Derudover er behandlingssikkerheden hos kommuner  – herunder kryptering af bærbare enheder – også et særligt fokusområde for Datatilsynets målrettede tilsynsindsats i 2024.

Vil du vide mere?

Du kan nedenfor læse mere om anbefalinger og krav om kryptering af diske på enheder, der udleveres til medarbejdere:

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på ad@datatilsynet.dk eller tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR

Hvordan kan denne type brud undgås?

Tab af transportable enheder med ukrypteret data er et af de mest udbredte brud på persondatasikkerheden. Her kan du læs om nogle af de sikkerhedsforanstaltninger, der kan forebygge denne type brud.