Datatilsynet har foretaget politianmeldelse af 6 virksomheder: Datatilsynet har hen over sommeren 2021 indstillet to private virksomheder og fire offentlige myndigheder til bøder på mellem 150.000 og 600.000 kr. for brud på databeskyttelsesreglerne.

I 5 af bødesagerne havde den dataansvarlige ikke gennemført passende sikkerhedsforanstaltninger, mens den sidste sag omhandlede uberettiget videregivelse af oplysninger om strafbare forhold.

Fælles for sagerne er, at kategorien af behandlede personoplysninger har haft en betydelig indflydelse på, at Datatilsynet har valgt at foretage politianmeldelse i sagerne. Når det kommer til behandling af helbredsoplysninger, fortrolige oplysninger og oplysninger om strafbare forhold, er der altså særlig grund til at udvise ekstra omhu.

Ligeledes understreger sagen om et sikkerhedsbrud ved Region Syddanmark, at børn, herunder særligt udsatte børn, har krav på særlig beskyttelse.

CLEMENS’ databeskyttelsesteam gennemgår de 6 sager her:

Nordbornholms byggeforretning ApS

Datatilsynet har politianmeldt Nordbornholms Byggeforretning ApS, idet virksomheden har videregivet oplysninger om strafbare forhold om en tidligere medarbejder til kunder uden at have det fornødne lovgrundlag

Den tidligere medarbejder klagede i 2018 til Datatilsynet over, at der var sendt e-mails til 2 af virksomhedens kunder, hvori det uddybende var beskrevet, hvordan medarbejderen havde begået svindel under sin ansættelse.

Det følger af databeskyttelsesloven, at en virksomhed altid skal have et formål med og et lovgrundlag for at videregive personoplysninger. Dette kan fx være tilfældet, hvis videregivelsen er nødvendig for at varetage en berettiget interesse, og at denne interesse ikke overstiger hensynet til den registrerede, eller hvis den registrerede har givet sit samtykke.

Datatilsynet udtaler i forbindelse med sagen, at det er berettiget, at virksomheden oplyser samarbejdspartnere om, at en medarbejder ikke længere har tegningsret eller er ansat i virksomheden. Det er derimod ikke nødvendigt at oplyse om baggrunden herfor. Det var derfor uberettiget, at virksomheden videregav disse oplysninger til de 2 kunder, da hensynet til den tidligere medarbejder var langt mere tungtvejende end hensynet til at oplyse kunderne om årsagen til ændringerne i tegningsretten.

Datatilsynet oplyser endvidere, at de ved beslutningen om at politianmelde virksomheden har lagt vægt på, at der var tale om oplysninger om strafbare forhold, og at parterne i sagen alle er etableret på Bornholm.

Overtrædelsen vurderes dermed at være grovere, idet den tidligere medarbejder forsat skal have et arbejdsliv på øen, hvor mængden af potentielle arbejdsgivere og samarbejdspartnere er relativt begrænset. Nordbornholms Byggeforretning ApS blev indstillet til en bøde på 400.000 kr.

Medicals nordic I/S

Kviktestudbyderen Medicals Nordic I/S blev i juli måned politianmeldt af Datatilsynet for ikke at have indført passende sikkerhedsforanstaltninger ved behandling af helbredsoplysninger og fortrolige oplysninger ved deres COVID-19 tests.

Datatilsynet tog sagen op af egen drift, da de opdagede, at Medicals Nordic I/S brugte appen WhatsApp til at videresende helbredsoplysninger om testede borgere.

På appen var der oprettet en chat-gruppe for hver af virksomhedens 4 teststeder, som alle medarbejdere tilknyttet det specifikke teststed var inviteret med i. Dette indebar, at samtlige medarbejdere, ved benyttelse af deres egne private telefoner, fik tilsendt beskederne om testede borgere.

Denne opsætning gav dermed adskillige medarbejdere adgang til et stort antal helbredsoplysninger og fortrolige oplysninger om borgere, som de ikke havde noget arbejdsbetinget behov for at behandle. Udover at chat-grupperne gav adgang til medarbejdere, der ikke havde noget formål med at få adgang til oplysningerne, så var der heller ikke etableret nogen adgangsstyring for chat-grupperne, som sikrede, at tidligere medarbejdere blev fjernet fra grupperne ved fratrædelse.

Samlet set har Datatilsynet vurderet, at Medicals Nordic I/S ikke har levet op til sit ansvar ved behandlingen af helbredsoplysninger og fortrolige oplysninger. Datatilsynet understreger endvidere, at Medicals Nordic I/S har handlet forsætligt ved ikke at have foretaget risikovurderinger af deres behandlingsaktiviteter og anvendte sikkerhedsforanstaltninger. Virksomheden er derfor indstillet til en bøde på 600.000 kr.

Datatilsynet har foretaget politianmeldelse af 6 virksomheder

REGION SYDDANMARK

Datatilsynet har i forbindelse med Region Syddanmarks anmeldelse af et sikkerhedsbrud vurderet, at regionen ikke har levet op til kravene om et passende sikkerhedsniveau efter databeskyttelsesforordningen.

I en database til forskningsmæssige og kliniske formål hos regionen var der ikke gennemført tilstrækkelige sikkerhedsforanstaltninger mod uvedkommendes adgang til filer. Dette indebar, at borgere med adgang til databasen kunne tilgå bl.a. helbredsoplysninger på alle de øvrige borgere, der var registreret i samme database ved blot at ændre i hjemmesidens HTTP-adresse. Som en del af de filer, der uretmæssigt kunne tilgås ved denne metode, var spørgeskemaer med helbredsoplysninger på 30.000 børn tilknyttet psykiatrien.

De risici, der er forbundet med utilstrækkelighederne ved sikkerhedsforanstaltningerne for databasen, skal ses i sammenhæng med, at der blev behandlet helbredsoplysninger, og at en del af de registrerede var udsatte børn.

Både kategorien af personoplysninger og typen af de registrerede stiller derfor større krav til den omhyggelighed, der er nødvendig for at leve op til de persondataretlige regler.

Overtrædelsen medførte en politianmeldelse og bødeindstilling på 500.000 kr. fra Datatilsynet. Bødens størrelse er fastsat under hensyntagen til sagens grovhed, herunder at sagen angik helbredsoplysninger om et stort antal udsatte børn, og at regionen tidligere har haft lignende brud på persondatasikkerheden.

VEJLE KOMMUNE

Datatilsynet har i forbindelse med Vejle Kommunes anmeldelse af et sikkerhedsbrud vurderet, at kommunen ikke har levet op til databeskyttelsesforordningens krav om at gennemføre passende sikkerhedsforanstaltninger.  

Sagen vedrørte den kommunale tandpleje i Vejle Kommune, som havde en fast praksis, hvor velkomstbreve automatisk blev fremsendt til begge forældremyndighedsindehavere. Af velkomstbrevet fremgik begge forældres adresser, uanset om en forælder (og barnet) havde navne- og adressebeskyttelse.

Datatilsynet har på baggrund heraf indstillet kommunen til en bøde på 200.000 kr.

Datatilsynet påpeger i den forbindelse, at der ved opsætningen af en automatisk proces til fremsendelse af breve indeholdende personoplysninger skal tages højde for, at videregivelse af oplysningerne ikke må udsætte borgeres rettigheder for en risiko. Derudover bør det altid vurderes, om det overhovedet er nødvendigt, at oplysningerne fremgår af brevene.

Udlændigestyrelsen

Datatilsynet har indstillet Udlændingestyrelsen til en bøde på 150.000 kr. for manglende overholdelse af databeskyttelsesforordningens regler om et passende sikkerhedsniveau. Politianmeldelsen er resultatet af en sag, som Datatilsynet indledte af egen drift mod Udlændinge- og Integrationsministeriet tilbage i august 2020.

I foråret og sommeren 2020 oplevede man et nedbrud i det system, der registrerede om beboere på Udrejsecenter Kærshovedgaard og Udrejsecenter Sjælsmark overholdt deres opholds-, underretnings- og meldepligt. Sikkerhedshændelserne betød, at flere oplysninger om beboernes ind- og udgange ikke blev registeret.

De manglende registreringer resulterede i, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser, ligesom andre blev politianmeldt for overtrædelse af deres opholds- og underretningspligt.

Udlændingestyrelsen har fra Datatilsynet modtaget kritik for, at de ikke havde brugt en hændelseslog til at kontrollere rigtigheden af it-systemets oplysninger, og at de ikke havde foretaget en risikovurdering, der forholdt sig til risici for de registrerede i forbindelse med behandlingsaktiviteterne. Endelig blev det påtalt, at Udlændingestyrelsen ikke have foretaget backups af oplysningerne, således at det var muligt at genskabe de data, der gik tabt under nedbruddene.

Datatilsynet ser med stor alvor på sagen. Dette skyldes, at borgerne skal kunne skulle stole på de oplysninger, som myndigheder behandler og videregiver til politiet, og som i sidste ende kan indgå i en straffesag. Manglende databeskyttelse i straffesagskæden vil kunne svække tilliden til både myndighederne og domstolene. Udlændingestyrelsen har efterfølgende oplyst, at de har trukket de relevante anmeldelser tilbage og sikret sig, at ingen er blevet politianmeldt for overtrædelse af deres kontrolforpligtelser i de perioder, der var berørt af nedbruddene.

REGION MIDTJYLLAND

Datatilsynet har i forbindelse med Region Midtjyllands anmeldelse af et sikkerhedsbrud vurderet, at regionen ikke har levet op til databeskyttelsesforordningens krav om at gennemføre passende sikkerhedsforanstaltninger. 

Datatilsynet modtog tilbage i juni 2020 en anmeldelse fra Region Midtjylland angående et brud på persondatasikkerheden. Regionen orienterede i den forbindelse Datatilsynet om, at alle medarbejdere og patienter på Livsstilcenter Brædstrup havde haft adgang til en bygning, hvori der blev opbevaret op mod 100.000 fysiske patientjournaler indeholdende helbredsoplysninger og personnumre. Årsagen hertil var, at både medarbejdere og patienter fik udleveret et nøglekort, der gav adgang til alle tre af livsstilscentrets bygninger uden hensyntagen til, om brugeren havde arbejdsbetinget behov herfor. Derudover kunne forbipasserende se omslaget på flere af journalerne igennem et vindue til bygningen. Af disse omslag fremgik både personnummer, navn og speciale.

Da Region Midtjylland ikke havde foretaget regelmæssige sikkerhedstjek, havde sikkerhedsbruddet stået på siden 2016.

Datatilsynet har indstillet Region Midtjylland til en bøde på 400.000 kr.

Datatilsynet oplyser, at de ved fastsættelsen af bødens størrelse har lagt vægt på, at Region Midtjylland behandler store mængder af særlige kategorier af personoplysninger, og at regionen tidligere har haft problemer med adgangsstyring og adgangsbegrænsning i forbindelse med behandlingen af personoplysninger.

Har du spørgsmål til Datatilsynets seneste bødesager eller brug for hjælp til din virksomheds håndtering af personoplysninger, så står CLEMENS’ persondata team naturligvis klar til at hjælpe.