LOLLAND: Navne på flere borgere, deres cpr-numre og oplysninger om deres helbred og misbrugsforhold.
Det var, hvad der lå i en e-mail, der kunne tilgås på en telefon hos en kommunalt ansat, som havde valgt at slå den kode fra, der skulle beskytte adgangen til telefonen.
Da telefonen i december 2020 blev stjålet, kunne tyven altså få adgang til oplysningerne.
Lolland Kommune valgte selv at melde sagen til Datatilsynet, og det har nu besluttet at melde kommunen til politiet og indstille til en bøde på 50.000 kroner. Selv om det stod i kommunens retningslinjer, at der skulle være en adgangskode på telefonerne.
Tilsynet mener nemlig, at kommunen gennem en årrække havde undladt et gennemføre "helt basale sikkerhedsforanstaltninger" ved at gøre det muligt for medarbejderne at fravælge at have adgangskoder på kommunale mobiltelefoner.
- Kommuner behandler store mængder følsomme oplysninger om borgerne, og derfor har de også et ansvar for at passe ordentligt på disse oplysninger. Mobile enheder bliver af og til stjålet, glemt eller tabt, og hvis uvedkommende uden videre kan få adgang til de oplysninger, der er på dem, så lever man ikke op til det ansvar, siger Betty Husted, fuldmægtig i Datatilsynet, i en pressemeddelelse.
Det er uforsvarligt
Det fremgår ikke, om telefontyven rent faktisk benyttede sig af adgangen til oplysningerne, og om de blev misbrugt. Men Datatilsynet vurderer, at risikoen er reel.
Det er nemlig, fortæller Datatilsynet, i højere grad end tidligere blevet almindeligt, at tyve gennemgår stjålne mobiltelefoner og tablets for personoplysninger, som for eksempel kreditkortoplysninger og cpr-numre, inden apparaterne bortskaffes, for eksempel ved videresalg.
Datatilsynet finder, at Lolland Kommunes behandling af personoplysninger ikke var i overensstemmelse med reglerne om passende sikkerhed.
Tilsynet lægger vægt på, at kommunen og andre med ansvar for data må påregne, at ikke alle ansatte til enhver tid følger interne retningslinjer om, at mobile enheder altid skal være beskyttet af en adgangskode.
Reelt effektiv beskyttelse er således betinget af, at en sådan adgangskode ikke kan omgås, for eksempel ved at den enkelte bruger kan slå koden fra.
- Henset til de risici for borgerne, der knytter sig til Lolland Kommunes behandling af personoplysninger, er det Datatilsynets opfattelse, at det er uforsvarligt, at kommunen ikke havde beskyttet sine mobile enheder med en adgangskode, som de ansatte ikke selv kunne slå fra, skriver tilsynet.
Sker ikke igen
Når Datatilsynet har valgt at melde Lolland Kommune til politiet, hænger det sammen med, at kommunen er en offentlig myndighed, som generelt har et særligt ansvar for at beskytte borgernes oplysninger, og at Lolland Kommune i den egenskab behandler store mængder fortrolige og følsomme oplysninger.
Tilsynet har også lagt vægt på, at der efter tilsynets opfattelse er tale om manglende implementering af en generel og basal teknisk foranstaltning.
Kommunaldirektør Thomas Knudsen understreger, at kommunen selv tog initiativ til at melde sagen til Datatilsynet og også straks indførte nye forholdsregler.
- Vi er enige i, at det var noget skidt, og derfor har vi også lavet proceduren om. Så det er ikke noget, der kommer til at ske igen, siger han.
Thomas Knudsen, kommunaldirektør, Lolland KommuneVi er enige i, at det var noget skidt, og derfor har vi også lavet proceduren om.
Medarbejdere kan altså ikke længere slå kode-beskyttelsen fra, og koden skal være på mindst seks tal. Dermed vurderer kommunen, at den i dag lever op til kravene.
Thomas Knudsen noterer sig også, at 50.000 kroner er den mindste bøde, Datatilsynet kan indstille til.