Datatilsynet melder Favrskov til politiet for manglende kryptering

FAVRSKOV: For godt et år siden modtog Datatilsynet en anmeldelse fra Favrskov Kommune, efter at en bærbar computer var blevet stjålet i forbindelse med et indbrud i kommunens lokaler.

Computeren indeholdt et program, der blev brugt til at sikre overblik over kommunens botilbuds-ressourcer, og det indeholdt navne og personnumre på omkring 100 personer med nedsat fysisk og/eller psykisk funktionsevne.

Harddisken var ikke krypteret, og programmet var heller ikke forsynet med sikkerhedsforanstaltninger, der kunne logge anvendelsen af programmet med de følsomme personoplysninger. Tilsynet fandt desuden ud af, at kommunen i en længere periode inden indbruddet ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere.

Tilsammen gør det sagen så grov, at tilsynet har valgt at melde sagen til politiet med forslag om en bøde på 75.000 kr. 

Almen viden

"Det er Datatilsynets klare opfattelse, at Favrskov Kommune ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32. Det er almen viden blandt de, der beskæftiger sig professionelt med it, at det er simpelt at tilgå filer, der er gemt på en computer, når harddisken ikke er krypteret," skriver tilsynet om sagen.

Tilsynet vurderer, at stjålne mobiler enheder i højere grad end tidligere bliver gennemgået for personnumre, fordi de kan videresælges på et voksende undergrundsmarked.

- Når en computers harddisk ikke er krypteret, er det enkelt at tilgå de filer, der er gemt på computeren – i dette tilfælde personoplysninger. Derfor er det altafgørende, at kommunerne beskytter computerne med kryptering, og det havde Favrskov Kommune ikke gjort, siger kontorchef Frederik Viksøe Siegumfeldt.

ak