IT- og digitaliseringschef Henrik Brix, Favrskov Kommune, ærgrer sig over bøde på 75.000 kr. for overtrædelse af GDPR-forordningen. “Jeg mener, det er en principiel dom, der kan ramme alle kommuner,” siger Henrik Brix.
Den 1. September 2023 blev Favrskov Kommune idømt en bøde på 75.000 kr. i byretten i Randers, efter indstilling fra Datatilsynet. Grundlæggende set falder dommen, fordi harddisken på en stjålet computer i august 2020 ikke var krypteret.
Den 19. august 2020 modtog Datatilsynet en anmeldelse fra Favrskov Kommune om et brud på persondatasikkerheden. Datatilsynet skriver i en pressemeddelelse af 16. September 2021, at Datatilsynet konstaterede under behandling af sagen, at Favrskov Kommune i en længere periode forud for den 12. august 2020, ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere, hvilket medførte et utilstrækkeligt sikkerhedsniveau.
Kravene i artikel 32 indebærer, at Favrskov Kommune har pligt til at sikre, at de oplysninger som behandles af kommunens medarbejdere, ikke kommer til uvedkommendes kendskab. Det er Datatilsynets klare opfattelse, at Favrskov Kommune ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32, skriver Datatilsynet.
Det er her vandene skilles mellem Datatilsynets udlægning og Favrskov Kommune.
Artikel 32 i GDPR-forordningen:
“Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant.”
Henrik Brix: “Jeg står ved, at det er mit ansvar. Men der står ikke i artikel 32, at harddiske på kommuners bærbare og pc´er skal være krypterede. Der står, at man skal indføre passende tekniske og organisatoriske foranstaltninger”.
“Vi har i Favrskov Kommune en remote desktop løsning, så data ikke ligger lokalt på den enkeltes pc eller bærbare. Her er der så en medarbejder, der har overtrådt vores klare instruks og valgt at gemme data på den lokale computer. Her lægger dommeren så til grund i sin præmis, at dette organisatoriske tiltag med at instruere medarbejdere om det, ikke er godt nok,” siger Henrik Brix.
I Dommen står: “Retten har herved lagt vægt på, at kommunen måtte påregne, at ikke alle ansatte fulgte interne retningslinjer, og på den generelle risiko for tyveri og anden bortkomst, der er forbundet med, at medarbejderne har en bærbar computer til rådighed”.
Henrik Brix: “Både at der i artikel 32 i GDPR-forordningen ikke er krav om, at kommuners harddiske skal være krypterede og at man som kommunal arbejdsgiver skal gå ud fra, at medarbejdere overtræder procedurerne, synes jeg, gør dommen principiel og kan få konsekvenser for alle kommuner. Derfor ærgrer jeg mig over bøden på 75.000 kr.,” siger Henrik Brix.
Henrik Brix mener, der med dommen skabes præcedens for, at it-afdelinger i landets kommuner risikerer bøder for, at de ansatte bryder kommunens procedurer, selvom det ikke er i overensstemmelse med praksis.
“Selvom det ikke er et krav om kryptering, skaber dommen et de facto krav om kryptering. Vi har lavet en vurdering af risici og vi har truffet de organisatoriske og tekniske foranstaltninger i henhold til artikel 32. Men der var ikke krypterede harddiske, og vi bliver dømt på det. Så ja, jeg synes det er principielt, for hvad er det næste, vi kan dømmes for, som ikke er et krav,” siger Henrik Brix.
Historisk
Favrskov Kommune havde ikke krypterede harddiske på pc’erne i august 2020, da pc’en blev stjålet. Det stod i it-afdelingens masterplan sammen med en række andre initiativer, som it-afdelingen dengang prioriterede højere. Med i den prioritering indgik, at en lang række af pc’erne ikke havde den nødvendige hardware til, at harddisken kunne krypteres. Der skulle altså udskiftes en række pc’er. Mange pc’er skulle BIOS-opdateres. Det bevirkede, at vi skulle have alle godt 2.200 pc’er i hænderne med et temmelig stort tidsforbrug til følge. Jeg har vurderet, at det efterfølgende har kostet 8.400 timer. Dertil kommer udskiftning af 250 pc’er. Altså en temmelig stor og dyr opgave.
“Vi mener derfor, at vi har vurderet risici og truffet de passende foranstaltninger i henhold til artikel 32. Det er Datatilsynet – og nu også retten – uenige i. Det burde maksimalt kunne give anledning til kritik – eller måske alvorlig kritik. Men ikke en bøde,” siger Henrik Brix.