Datatilsynet har politianmeldt Vejen Kommune og indstillet til en bøde på 200.000 kroner. Det er konklusionen på en sag, der startede, da kommunen anmeldte et brud på persondatasikkerheden, fordi fem bærbare computere var blevet stjålet.
Computerne var kun beregnet til brug for lærere og elever som led i undervisningen. I praksis blev de imidlertid også benyttet af lærere til at lave statusbeskrivelse af elever, klasseoverleveringer mv, og derfor lå der bl.a. flere oplysninger om elever med særlige udfordringer på computerne. Ingen af computerne var krypterede.
I Datatilsynets efterfølgende undersøgelse af sagen kom det frem, at der var op mod 300 computere i kommunen, som risikerede at blive anvendt på samme måde, og som heller ikke var krypterede.
"Jeg må sige, at jeg er overrasket over, at vi bliver ved med at se disse sager i kommunerne. Vi har fået underretninger om denne slags brud gennem flere år, vi har været ude og advare flere gange, og vi har også indstillet til bøde i tidligere sager," siger Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet, og fortsætter:
"Kryptering er en helt basal sikkerhedsforanstaltning, som er relativt nem og ikke særlig omkostningsfuld at implementere. Vi opfordrer derfor alle kommuner til at tage et grundigt kig på deres bærbare enheder og få styr på kryptering nu."
Der har været fokus på netop kryptering i kommunerne i modenhedstilsyn i både 2021 og 2022, og Datatilsynet har tidligere indstillet til bøde i sager angående manglende kryptering af bærbare enheder i Favrskov Kommune, Gladsaxe Kommune, Hørsholm Kommune, Odsherred Kommune og Civilstyrelsen. Derudover er behandlingssikkerheden hos kommuner – herunder kryptering af bærbare enheder – også et særligt fokusområde for Datatilsynets målrettede tilsynsindsats i 2024.
Vil du vide mere?
Du kan nedenfor læse mere om anbefalinger og krav om kryptering af diske på enheder, der udleveres til medarbejdere:
- Sikkerhedsforanstaltninger, der kan forebygge brud på persondatasikkerheden ved tab/tyveri af transportable enheder med ukrypteret data
- Tekniske minimumskrav for statslige myndigheder 2023, sikkerdigital.dk
- Tekniske minimumskrav for statslige myndigheder 2024, sikkerdigital.dk
- Kommunernes Landsforenings (KL) anbefalinger fra 2023 om tekniske minimumsstandarder i kommuner
- Cyberforsvar der virker, Center for Cybersikkerhed, juli 2023
- Vejledning om Cybersikkerhed på rejse – organisationens ansvar, Center for Cybersikkerhed, januar 2022
- Råd om sikkerhed på mobile enheder, Center for Cybersikkerhed og PET 2018
- National strategi for cyber – og informationssikkerhed, Finansministeriet, maj 2018
- NIST SP 800-111, Guide to Storage Encryption Technologies for End User Devices
Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på ad@datatilsynet.dk eller tlf. 29 49 32 83.