Bødeforslag og politianmeldelse
Datatilsynet har politianmeldt Lyngby-Taarbæk Kommune og indstillet en bøde på 350.000–400.000 kr. for vedvarende mangler i sikkerheden omkring behandling af personoplysninger. Vurderingen bygger på GDPR’s krav om passende beskyttelse efter artikel 32 og sanktionskriterierne i artikel 83. Ifølge tilsynet har kommunen i flere år undladt at indføre basale kontroller for adgangsstyring og fjernadgang, trods gentagne indikationer på svagheder.
Ved fastsættelsen af bødestørrelsen er der lagt vægt på overtrædelsernes varighed og karakter, behovet for afskrækkelse samt kommunens størrelse. Tilsynet fremhæver, at bøden skal være effektiv og stå i rimeligt forhold til risikoen og det potentielle skadeomfang. Sagen overgår herefter til straffesystemet via politianmeldelsen.
Sikkerhedsbrister og krav
To hændelser angik fravær af klare retningslinjer for nedlæggelse af brugeradgange og manglende periodisk kontrol i et kommunalt omsorgssystem. Det betød, at mindst 1.000 fratrådte medarbejdere vedblev at have adgang, og i et tilfælde blev adgangen misbrugt til at tilgå oplysninger om 1.022 borgere. En tredje hændelse vedrørte misbrug af en medarbejders login, som gav adgang til cloudtjenester med oplysninger om ca. 5.000 personer.
Begge systemtyper kunne tilgås direkte fra internettet uden flerfaktorautentifikation. Medarbejdere kunne logge ind alene med brugernavn og adgangskode, hvilket markant forhøjede risikoen for uautoriseret adgang. Datatilsynet understreger, at interneteksponerede systemer med beskyttelsesværdige oplysninger som udgangspunkt skal sikres med MFA og løbende adgangsrevurdering.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Praksis og vejledning
Dataansvarlige bør sikre mindst mulig adgang, rettidig deprovisionering og dokumenteret, periodisk kontrol af alle konti. For interneteksponerede løsninger er MFA og stærk autentifikation et grundlæggende krav. Se Datatilsynets vejledning om rettighedsstyring her: datatilsynet.dk. Læs også tilsynets katalog over foranstaltninger og specifik vejledning om MFA: datatilsynet.dk og datatilsynet.dk.
Relevante nationale standarder og anbefalinger kan understøtte baseline-sikkerhed i det offentlige. Se de tekniske minimumskrav for statslige myndigheder hos Digitaliseringsstyrelsen: sikkerdigital.dk. Center for Cybersikkerhed har desuden vejledninger om effektivt cyberforsvar og passwordsikkerhed: cfcs.dk og cfcs.dk.
