Favrskov skal bøde for dårlig sikkerhed
Datatilsynet har anmeldt Favrskov Kommune til politiet for manglende kryptering.
En computer uden krypteret harddisk og navne og personnumre på omkring 100 borgere med nedsat fysisk og/eller psykisk funktionsevne går ikke hånd-i-hånd med god datasikkerhed.
Det mener i hvert fald Datatilsynet, der nu har anmeldt Favrskov Kommune til politiet for brud på databeskyttelsesforordningenen.
Det skriver tilsynet på sin hjemmeside.
- Vi tager det til efterretning, siger Jan Kallestrup, der er kommunaldirektør i Favrskov Kommune.
Han understreger, at kommunen har lavet en række forbedringer af datasikkerheden siden sagen blev anmeldt til Datatilsynet af kommunen selv i august 2020.
Læs også
Her opdagede kommunen, at en computer med oplysninger om navne og personnumre for omkring 100 personer med nedsat fysisk og/eller psykisk funktionsevne var blevet stjålet i forbindelse med et indbrud i kommunens lokaler. Computerens harddisk var ikke blevet krypteret.
- Det er almen viden blandt de, der beskæftiger sig professionelt med IT, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret, skriver Datatilsynet.
Derfor bliver kommunen politianmeldt:
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at Favrskov Kommune forud for 12. august 2020 ikke havde foretaget kryptering af harddiskene på kommunens bærbare computere.
Endvidere har tilsynet lagt vægt på, at der på den pågældende computer blev behandlet fortrolige og helbredsmæssige oplysninger om personer med nedsat fysisk eller psykisk funktionsevne og som var knyttet til et botilbud.
Kilde: Datatilsynet
Skal beskytte computerne
På grund af den manglende kryptering, mener tilsynet, at Favrskov Kommune ikke har sikret sig, at personoplysningerne kun kan tilgås af kommunens ansatte.
- Det er altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort, siger kontorchef i Datatilsynet Frederik Viksøe Siegumfeldt på tilsynets hjemmeside.
Kommunaldirektøren ønsker ikke at komme nærmere ind på, hvilke forbedringer man har lavet af it-sikkerheden.
- Vi arbejder løbende med sikkerheden og de udfordringer, der kunne være på det her området, understreger Jan Kallestrup.
Ifølge Datatilsynet bør den manglende kryptering udløse en bøde på 75.000 kroner.
I sidste ende er det politiet, der afgør om man vil sigte kommunen og bringe sagen for en domstol.