Politianmeldelse

Hvidovre Kommune indstilles til bøde

Dato: 22-01-2024

Datatilsynet har anmeldt Hvidovre Kommune til politiet, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.

Datatilsynet blev opmærksom på sagen, da kommunen den 25. juni 2021 anmeldte et brud på persondatasikkerheden. Af sagen fremgik det, at den kommunale tandpleje havde en selvbetjeningsløsning, hvor bopælsforældre oprindeligt havde adgang til bl.a. tandplejens breve. Kommunen udvidede efterfølgende adgangen til systemet til også at omfatte samværsforældre med fælles forældremyndighed. Yderligere havde den kommunale tandpleje haft en fast praksis, hvor breve indeholdende barnets adresse automatisk var blevet fremsendt til begge forældremyndighedsindehavere. Dette medførte, at der blev videregivet oplysninger og givet uberettiget adgang til oplysninger om barnets adresse, uagtet at barnet og eventuelt også forælder og eventuelle søskende med samme bopælsadresse som barnet, havde navne- og adressebeskyttelse.

Hvidovre Kommune gav således begge forældremyndighedsindehavere adgang til tandplejens breve indeholdende beskyttede adresser uden i det enkelte tilfælde at vurdere, hvorvidt de pågældende oplysninger måtte videregives til den anden forældremyndighedsindehaver. Derudover iværksatte kommunen efterfølgende automatisk fremsendelse af breve fra tandplejen – der i en række tilfælde indeholdt beskyttede adresser på børn - til begge forældremyndighedsindehavere, uden at have vurderet, hvorvidt oplysningerne måtte videregives til den anden forælder.  

Krav om passende sikkerhed

Databeskyttelsesforordningens krav om passende behandlingssikkerhed indebærer bl.a., at den dataansvarlige i forbindelse med ændringer i et it-miljø, software eller automatiserede processer sikrer sig, at ændringerne ikke får utilsigtede konsekvenser for de registrerede. 

"Det er ikke altid let at gennemskue, hvad konsekvenserne er, når man ændrer på it-systemer, der indeholder integrationer og automatiske processer. Men det er ikke desto mindre nødvendigt at gå grundigt til værks og få det kortlagt - risikoen for nogle af borgerne kan nemlig være meget stor. Bedre ændringsstyring i Hvidovre Kommune kunne have gjort en stor forskel," siger Ditte Yde Amsnæs, kontorchef i Datatilsynet.

Datatilsynet har tidligere indstillet til bøde i to lignende sager i Frederiksberg Kommune og Vejle Kommune.

Indstilling til bøde

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Selv om bruddet skete tilbage i 2021, og Hvidovre Kommune hurtigt fik rettet op efter konstateringen af bruddet, har Datatilsynet på baggrund af sagens omstændigheder og alvor valgt at anmelde Hvidovre Kommune til politiet og indstiller, at der nedlægges påstand om, at kommunen idømmes en samlet bøde på ikke under 200.000 kr.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor, og forordningens krav om at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet har lagt vægt på, at adgangen til adresserne kunne medføre alvorlige konsekvenser for borgerne, som netop havde adressebeskyttelse for at undgå, at den anden forælder fik kendskab til adressen. Ved beregningen af bøden er der endvidere lagt vægt på kommunens størrelse i forhold til indbyggertal og den samlede driftsbevilling.

Vil du vide mere?

I Datatilsynets katalog over foranstaltninger kan man læse mere om ændringsstyring, eksempler på scenarier og en række sikkerhedsforanstaltninger og tiltag, som kan være relevante at overveje for at sikre passende sikkerhed.

Man kan også læse om denne type brud her: Beskyttet adresse eksponeres fejlagtigt efter ændring i it-system.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Sagen er afgjort den 27. maj 2024 med et bødeforelæg på 200.000 kr. til kommunen.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR

Hvordan kan denne type brud undgås?

At en beskyttet adresse eksponeres fejlagtigt efter en ændring i et it-system, er et typisk brud på persondatasikkerheden. Her kan du læs om nogle af de sikkerhedsforanstaltninger, der kan forebygge denne type brud.