Datatilsynet har politianmeldt Vejen Kommune og indstillet en bøde på 200.000 kr. efter tyveri af fem ukrypterede bærbare computere med elevoplysninger, herunder følsomme data. Undersøgelsen viste, at op mod 300 tilsvarende enheder i kommunen kunne bruges uden diskkryptering.
Sagens kerne
Enhederne var udleveret til undervisning, men blev i praksis anvendt til statusbeskrivelser og klasseoverleveringer. Det medførte behandling af personoplysninger ud over det forventede, uden at basale sikkerhedsforanstaltninger var på plads.
Tilsynet understreger, at fulddiskkryptering er en standardforanstaltning, som er teknisk moden og relativt omkostningseffektiv. Kommuner opfordres til at gennemgå alle mobile enheder og sikre konsekvent kryptering samt styring af brugsmønstre.
Retligt grundlag og praksis
Sagen vurderes efter GDPR art. 32 om passende sikkerhed og art. 5, stk. 1, litra f, om integritet og fortrolighed. Bruddet blev anmeldt i overensstemmelse med art. 33, men den manglende kryptering anses som utilstrækkelig behandlingssikkerhed.
I Danmark håndhæves reglerne via politianmeldelse og bødeindstilling. Datatilsynet har tidligere indstillet sanktioner i lignende sager og har gjort behandlingssikkerhed i kommuner til et fokusområde i 2024, jf. tilsynets program på datatilsynet.dk.
Praktiske implikationer
Kommuner og andre myndigheder bør sikre dokumenterede tekniske og organisatoriske foranstaltninger, understøttet af ledelsesforankring, enhedsstyring og løbende kontrol.
Som minimum anbefales følgende tiltag på bærbare enheder med personoplysninger:
- Tvangshåndhævet fulddiskkryptering via central enhedsstyring.
- Politikker for lokal lagring, adgangskontrol og automatisk låsning.
- Logning, dokumentation og regelmæssig eftersyn af konfigurationer.
Se også de tekniske minimumskrav på sikkerdigital.dk og generelle råd fra Center for Cybersikkerhed på cfcs.dk.
