Kritik af Køge Kommune for manglende anmeldelse af brud på persondatasikkerheden

Datatilsynet gennemførte i 2019 et tilsyn med Køge Kommune for at undersøge, om kommunen overholder reglerne om anmeldelse af brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 33. Tilsynet fokuserede på, om Køge Kommune anmelder brud rettidigt, og om kommunen dokumenterer alle brud korrekt, jf. databeskyttelsesforordningens artikel 33, stk. 5. Datatilsynet undersøgte også kommunens uddannelse af medarbejdere i håndtering af brud på persondatasikkerheden.

Køge Kommune havde registreret 31 informationssikkerhedshændelser, hvoraf 21 blev kategoriseret som brud på persondatasikkerheden. Af disse 21 brud blev 11 anmeldt til Datatilsynet, mens 8 ikke blev anmeldt, da kommunen vurderede, at der ikke var pligt til det. Datatilsynet vurderede, om Køge Kommune havde levet op til kravet om at anmelde alle relevante brud på persondatasikkerheden.

Datatilsynet gennemgik også de 10 hændelser, som Køge Kommune kategoriserede som rene informationssikkerhedshændelser. Tilsynet fandt, at én af disse hændelser burde have været registreret som et brud på persondatasikkerheden. Hændelsen involverede manglende adgangskontrol til patientoplysninger i kommunens tandpleje, hvor der var fri adgang til følsomme data som cpr.nr. og røntgenbilleder. Kommunen havde vurderet, at risikoen var minimal, men Datatilsynet var uenig og mente, at bruddet skulle have været anmeldt.

Datatilsynet vurderede også to klager over Køge Kommune, hvor kommunen bevidst havde offentliggjort oplysninger og mente at have hjemmel hertil. Tilsynet var enig i, at disse sager ikke udgjorde brud på persondatasikkerheden.

Endelig gennemgik Datatilsynet de 8 hændelser, som Køge Kommune havde kategoriseret som brud på persondatasikkerheden, men ikke anmeldt. Tilsynet var enig i, at disse hændelser ikke skulle anmeldes, da risikoen for de registreredes rettigheder blev vurderet som usandsynlig.

Afgørelse

Datatilsynet udtalte kritik af Køge Kommune for ikke at have anmeldt en hændelse vedrørende manglende adgangskontrol til patientoplysninger i kommunens tandpleje, hvilket var i strid med Databeskyttelsesforordningen § 33.

• Datatilsynet fandt, at der var tale om et brud på persondatasikkerheden, da der havde været utilsigtet adgang til personoplysninger.
• Kommunen havde ikke godtgjort, at adgangen ikke var blevet misbrugt, og det kunne derfor ikke anses for usandsynligt, at der havde været en risiko for de registreredes rettigheder.

Datatilsynet fandt dog, at Køge Kommune generelt havde iværksat de nødvendige foranstaltninger for at overholde kravene i Databeskyttelsesforordningen § 33, stk. 1, og at kommunen samlet set havde levet op til kravene i Databeskyttelsesforordningen § 33, stk. 5.

Datatilsynet vurderede også, at Køge Kommune havde gennemført passende uddannelsesaktiviteter for at understøtte identifikation og håndtering af brud på persondatasikkerheden.