Bøde for manglende sikkerhedsforanstaltninger
Københavns Byret har fundet Kræftens Bekæmpelse skyldig i overtrædelse af databeskyttelsesreglerne efter fire sikkerhedsbrud i 2019–2020. Sagen vedrørte tyveri af bærbare computere og to phishingangreb, som tilsammen eksponerede personoplysninger om mindst 1.347 registrerede, herunder CPR-numre.
Retten lagde vægt på, at foreningen som dataansvarlig ikke havde gennemført basale tiltag som kryptering af bærbare og multifaktorgodkendelse ved adgang, i strid med databeskyttelsesforordningens artikel 32 og databeskyttelseslovens § 41. Manglerne øgede risikoen for misbrug og muliggjorde eksponering ved de pågældende hændelser.
Retlige præmisser og udmåling
Domstolen henviste til forordningens præambel om harmoniserede og afskrækkende sanktioner samt proportionalitet. Datatilsynet indstillede en markant bøde, som Anklagemyndigheden fulgte, men retten fastsatte bøden til 75.000 kr. med vægt på foreningens almennyttige formål og sagens begrænsede kompleksitet.
Retten bemærkede endvidere, at Datatilsynet tidligere havde gjort foreningen opmærksom på sikkerhedsbruddene og at indberetningerne kunne indgå i en samlet vurdering. Dette ændrede ikke på, at den konkrete overtrædelse primært bestod i fraværet af velkendte, tilgængelige sikkerhedsforanstaltninger.
Praktiske konsekvenser
Dommen understreger, at organisationer – også nonprofit – skal implementere risikobaserede, passende tekniske og organisatoriske foranstaltninger. Kryptering og multifaktorgodkendelse betragtes som baseline-kontroller, når der behandles følsomme eller fortrolige oplysninger.
Sagen illustrerer også, at bøder kan tilpasses efter formål og forhold, men at ansvar indtræder ved manglende grundlæggende sikkerhed. Dokumenteret risikovurdering, adgangsstyring, træning og systematisk hændelseshåndtering er centrale elementer for at reducere risiko og sanktionsniveau.
