Nyhed

Kræftens Bekæmpelse indstillet til bøde for brud på databeskyttelsesforordningen

Datatilsynet har den 29. september 2021 anmeldt Kræftens Bekæmpelse til politiet og indstillet til bøde på 800.000 kr. Dette sker, fordi Kræftens Bekæmpelse ikke har levet op til kravene i databeskyttelsesforordningen (GDPR) om passende sikkerhedsforanstaltninger. Mindst 1.448 borgeres oplysninger – herunder følsomme oplysninger om helbred – er blevet kompromitteret.

bøde for brud på databeskyttelsesforordningen


Begrundelsen for Datatilsynets afgørelse

Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse har konstateret brud på persondatasikkerheden og anmeldt det til Datatilsynet. To tilfælde vedrører tyveri af computere, mens de to andre tilfælde vedrører phishingangreb. Fælles for alle fire tilfælde er, at de skyldtes, at Kræftens Bekæmpelse selv havde undladt at implementere sikkerhedsforanstaltninger, som de tidligere havde vurderet som passende.

Kræftens Bekæmpelse vurderede nemlig allerede – efter et lignende brud på persondatasikkerheden i 2018 – at de burde øge persondatabeskyttelsen ved at indføre multifaktor-autentifikation, dvs. at man bruger to eller flere faktorer til at logge på et system mv., men dette blev alligevel ikke implementeret. Konsekvensen af det blev, at Kræftens Bekæmpelse ikke var i stand til at forebygge eller forhindre de efterfølgende brud på persondatasikkerheden, og derfor fik uvedkommende adgang til personoplysninger, der blev opbevaret på medarbejderens computere.

Bruddet vedrører mindst 1.448 personer, og for flere af disse personer vedrører bruddet følsomme personoplysninger i form af helbredsoplysninger, herunder sygdomshistorik.


Bødestørrelsen

Datatilsynet har i udregningen af bødestørrelsen ikke medtaget donationer, men derimod udelukkende taget udgangspunkt i Kræftens Bekæmpelses indtægter fra genbrug, arrangementer og salg af merchandise, hvilket svarer til ca. 10 % af foreningens samlede indtægter.


NJORDs bemærkninger

Denne afgørelse fra Datatilsynet understreger vigtigheden af at have styr på sikkerheden omkring ens behandling af personoplysninger. Det er i det hele taget vigtigt at være tro mod sin risikovurdering i de tilfælde, hvor man f.eks. behandler helbredsoplysninger eller andre følsomme oplysninger i øvrigt. 
NJORD anbefaler derfor, at virksomheder og myndigheder foretager gennemgang af interne politikker og retningslinjer for at sikre, at personoplysninger er tilstrækkeligt beskyttet generelt, og at de implementerede sikkerhedsforanstaltninger stemmer overens med risikobilledet.
 

VIL DU VIDE MERE?
Hvad kan vi gøre for dig?