Datatilsynet har politianmeldt Hvidovre Kommune og indstillet en bøde på mindst 200.000 kr. for brud på persondatasikkerheden. Kommunen gav begge forældremyndighedsindehavere adgang til tandplejebreve, der i en række tilfælde indeholdt beskyttede adresser, uden konkret vurdering af lovlig videregivelse.
Bødeindstilling og vurderingskriterier
Ved sanktioneringen er der lagt vægt på overtrædelsens karakter og alvor samt kravet om, at bøder skal være effektive, proportionale og afskrækkende, jf. GDPR artikel 83. Selvom bruddet blev udbedret hurtigt, vurderede tilsynet, at risikoen for de berørte borgere var betydelig.
Bødestørrelsen er fastsat under hensyn til kommunens indbyggertal og økonomi. Tilsynet henviser til lignende sager i Frederiksberg og Vejle Kommuner, hvor der også er indstillet til bøde, se afgørelserne for Frederiksberg Kommune og Vejle Kommune.
Krav til behandlingssikkerhed og ændringsstyring
Sagen understreger pligten til passende behandlingssikkerhed efter GDPR artikel 32, herunder at ændringer i it-miljøer, integrationer og automatiserede processer ikke må udløse uforudsete adgangsudvidelser. Den dataansvarlige skal dokumentere kontroller og foretage risikovurdering før udrulning.
Praktisk bør myndigheder indføre streng ændringsstyring, test og godkendelsesprocedurer samt løbende kontrol af adgangsstyring og brevløsninger. Datatilsynet tilbyder vejledning om ændringsstyring i sit katalog over foranstaltninger, som kan tilpasses lokale forhold og risici, se kataloget her.
