800 siders persondata forsvundet: Civilstyrelsen indstillet til GDPR-bøde på 100.000 kroner

usb-stik
Illustration: Proxima Studio.
Civilstyrelsen beklager de manglende sikkerhedsforanstaltninger, der har ført til et forsvundet usb-stik og en bødeindstilling fra Datatilsynet.
17. maj kl. 05:00
errorÆldre end 30 dage

Datatilsynet har politianmeldt Civilstyrelsen og indstillet til en bøde på 100.000 kroner for at sjuske med persondatasikkerheden og bryde med GDPR.

Det skriver tilsynsmyndigheden i en pressemeddelelse.

Datatilsynet tog sagen op, efter en borger klagede over, at mere end 800 siders følsomme personoplysninger var forsvundet.

I forbindelse med en sag hos Civilstyrelsen havde klageren afleveret et usb-stik med de mange persondata. Da myndigheden sendte stikket tilbage til klageren, var det forsvundet fra kuverten.

Dataen var ikke krypteret, og Civilstyrelsen havde ikke tilstrækkelige retningslinjer for, hvordan sagsbehandlere skulle håndtere usb-stik med følsomme oplysninger. Da myndigheden opdagede bruddet den 26. august 2020, meldte man det ikke til Datatilsynet, selvom det er et lovkrav.

Dét skal udløse en bøde, mener Datatilsynet:

»Ved indstillingen til politiet har Datatilsynet bl.a. lagt vægt på, at det er en væsentlig sikkerhedsforanstaltning at have procedurer, der omfatter alle behandlinger, og at sikre kryptering af USB-stik. Desuden har kryptering været en udbredt og anerkendt teknisk foranstaltning i mange år, der let bør kunne imødegås af den dataansvarlige,« oplyser tilsynet i pressemeddelelsen.

Få fuld adgang til ComplianceTech
ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Få tilsendt tilbud
Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
17. maj kl. 11:08

Er der efterhånden nogen offentlige institutioner, som ikke har fået sager, påtaler og kritik for sjusk med (person)datasikkerheden?

1
17. maj kl. 08:11

Når der er relativt fast definerede minimumskrav til myndigheders kryptering i forbindelse med TLS 1.2 mails og WPA2 wifi, forstår jeg ikke hvorfor der er en tilbageholdenhed med et statsligt minimumskrav til kryptering at rest på (mere eller mindre bærbare) harddiske, når nu "kryptering er så nemt at implementere".

... ellers er resultatet af uvisheden jo bare flere bøder, indtil vi langsomt ranmer et eller andet vagt defineret minimums-niveau.