Favrskov Kommune dømt for brud på persondatasikkerheden

Ved et indbrud for over tre år siden blev der stjålet en bærbar computer fra en aflåst skuffe i Sundhedscentret i Hadsten.

På computeren lå et program med navne og adresser på omkring 100 beboere på bosteder i Favrskov, som en medarbejder stik imod kommunens retningslinjer havde gemt lokalt på computeren.

Computeren var ikke krypteret, og derfor ville tyven relativt nemt kunne omgå brugernavn og adgangskode og få adgang til oplysningerne ved for eksempel at flytte harddisken til en anden computer.

Favrskov Kommune anmeldte til Datatilsynet, at der med tyveriet var sket et brud på persondatasikkerheden. Datatilsynet behandlede sagen og nåede godt et år senere frem til at politianmelde Favrskov Kommune og indstille kommunen til en bøde for 75.000 kroner.

Ifølge Datatilsynet havde kommunen ikke i tilstrækkelig grad sikret personoplysningerne og var derfor skyldig i en alvorlig overtrædelse af reglerne om databeskyttelse. Kommunen burde ifølge Datatilsynet have kunnet forudse, at ikke alle medarbejdere ville følge retningslinjerne om ikke at gemme oplysninger direkte på deres computer.

Kendt skyldig

I Danmark skal Datatilsynets indstillinger om bøder behandles i retten, og det er nu sket her cirka to år efter politianmeldelsen af kommunen - og altså tre år efter tyveriet af computeren.

Det foregik ved et daglangt retsmøde i Retten i Randers, hvor medarbejdere fra Datatilsynet og kommunen var indkaldt til afhøring. Favrskov Kommune nægtede sig skyldig i anklagen, men byretten fulgte indstillingen fra Datatilsynet og idømte kommunen en bøde på 75.000 kroner.

»Vi mener, at vi har levet op til reglerne og er uenige i, at sagen har udløst en bøde. Den burde højst give anledning til kritik fra Datatilsynet,« siger Henrik Brix, der er IT- og Digitaliseringschef i Favrskov Kommune.

Kommunen er dømt efter Databeskyttelsesforordningens artikel 32, der handler om beskyttelse af personoplysninger. Heraf fremgår det, at man under hensyntagen til omkostninger og risiko for brud på personers rettigheder skal foretage tekniske og organisatoriske foranstaltninger for at have et passende sikkerhedsniveau.

Følsomme oplysninger?

Datatilsynet har i en beskrivelse af sagen og politianmeldelsen omtalt personoplysningerne som følsomme. Det mener kommunens IT-chef ikke, der er tale om.

»Der var ikke personnumre, men blot navne og adresser, du kan finde på Krak og se på deres postkasser. Og der er ikke noget, der tyder på, at tyveriet handlede om at stjæle oplysninger. Sandsynligheden, for at nogen har udtaget harddisken fra den stjålne computer og sat den over i en anden computer for at få fingre i oplysningerne, er efter min mening meget lille,« siger Henrik Brix.

Foranstaltninger

Udover at der ifølge kommunen ikke var tale om følsomme oplysninger, mener IT-chefen samtidig, at Favrskov har levet op til kravene i artikel 32 om at lave en risikovurdering og have truffet de nødvendige tekniske og organisatoriske foranstaltninger.

Den tekniske foranstaltning var, at man anvendte og anvender et fjernskrivebord, som alle medarbejdere skal koble sig på og arbejde på. Når de gør det, er der ingen data på computeren, når den slukkes, og der kan følgelig ikke ske brud på persondatasikkerhed.

På det organisatoriske plan har kommunen orienteret medarbejderne om, at de ikke må gemme data lokalt på computeren. De har fået grundig instruktion og er løbende påmindet om at anvende fjernskrivebordet, fortæller Henrik Brix.

Kryptering

Datatilsynet mener dog ikke, at det har været nok. Kommunen burde have krypteret alle dens cirka 2.500 bærbare computeres harddiske, og en medarbejder fra Datatilsynet fremhævede i retten, at det er nemt at lave en kryptering. Den vurdering er kommunens IT-chef meget uenig i.

»Hvis vi havde kunnet gøre det fra centralt hold, havde vi gjort det. Det er en meget omfattende opgave, som vi ikke kunne udføre uden at have alle computerne i hånden, så det var vores plan at gøre det løbende ved at kryptere alle nye computere,« fortæller Henrik Brix.

Efter dialog med Datatilsynet følte Favrskov Kommune sig nødsaget til at speede processen op og fik krypteret de omkring 2.500 bærbare computere. Det har dog ikke været uden omkostninger.

»Jeg har estimeret, at det har kostet 8.000 arbejdstimer, så det har altså været en meget stor og dyr opgave.«

Anker ikke

Af samme grund har Favrskov Kommune valgt ikke at anke bøden til Landsretten, selvom kommunen mener at have retten på sin side.

»Vi har allerede brugt masser af tid og resurser på sagen. Det har været rigtig dyrt, og jeg synes ikke, vi kan retfærdiggøre at bruge mere tid på den. Og nu hvor vores harddiske er krypterede, er sagen heller ikke længere så interessant.«

Favrskov er den tredje kommune i Danmark, der oplever at blive politianmeldt og dømt for brud på Databeskyttelsesforordningen.