Søg i alle vores afgørelser

Find flere relevante afgørelser i vores omfattende database med over 100.000 afgørelser.

SIRIUS advokater indstilles til bøde for manglende sikkerhedsforanstaltninger ved hackerangreb

Dato

14. juli 2022

Eksterne links

Kategorier

AfgørelsePrivate virksomhederPolitianmeldelseAnmeldt brud på persondatasikkerhedenBehandlingssikkerhedHacking o.l.Uautoriseret adgang

Relaterede love

Lov	§
Forvaltningsloven	§9a

SIRIUS advokater blev i marts 2020 udsat for et hackerangreb, hvorved hackere fik adgang til og krypterede advokatfirmaets servere, der indeholdt klientoplysninger. Dette medførte en risiko for, at personoplysninger kom i uvedkommendes besiddelse. Datatilsynet har efterfølgende vurderet sagen og indstillet SIRIUS advokater til en bøde på 500.000 kr.

Manglende sikkerhedsforanstaltninger

Datatilsynet vurderer, at SIRIUS advokater ikke havde implementeret tilstrækkelige sikkerhedsforanstaltninger vedrørende fjernadgang til virksomhedens it-systemer.
Det fremgår, at der ikke var implementeret multifaktorlogin, hvilket anses for en basal sikkerhedsforanstaltning i systemer med mange personoplysninger af særlig karakter.
Datatilsynet anerkender, at SIRIUS advokater var i gang med at implementere en multifaktor-autentifikationsløsning på tidspunktet for bruddet, og at de har været samarbejdsvillige under sagens opklaring.

Datatilsynets vurdering

Datatilsynet foretager en konkret vurdering af sagens grovhed i henhold til databeskyttelsesforordningens artikel 83, stk. 2.
Ved vurderingen af bødens størrelse er der lagt vægt på overtrædelsens karakter og alvor samt kravet om, at bøden skal være effektiv, proportional og afskrækkende.

Datatilsynet har indstillet SIRIUS advokater til en bøde på 500.000 kr. for manglende overholdelse af sikkerhedsforanstaltninger i forbindelse med fjernadgang til it-systemer indeholdende personoplysninger.

Begrundelse for afgørelsen:

SIRIUS advokater havde ikke implementeret tilstrækkelige sikkerhedsforanstaltninger, herunder multifaktorlogin, ved oprettelse af fjernadgang til systemer med et stort antal personoplysninger af særlig beskyttelsesværdig karakter.
Datatilsynet vurderer, at manglen på disse basale sikkerhedsforanstaltninger udgjorde en overtrædelse af Databeskyttelsesloven § 5, stk. 1 og Databeskyttelsesforordningen § 6, stk. 1, da kompromitteringen indebar en høj risiko for de registreredes rettigheder.
Datatilsynet har lagt vægt på, at en bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Lignende afgørelser

EU-Domstolen

Administrative bøder mod juridiske personer under GDPR – Krav om skyld og forbud mod nationalt krav om identifikation af fysisk gerningsmand

Denne præjudicielle afgørelse omhandler fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR) vedrørende ...

5. december 2023Læs mere

Domstolene

Dom for overtrædelse af databeskyttelsesloven ved videregivelse af oplysninger om underslæb

Tiltalte ApS blev tiltalt for overtrædelse af [Databeskyttelsesloven § 8, stk. 4](/loven/databeskytte...

6. december 2024Læs mere

Sø- og Handelsretten

Afvisning af midlertidigt forbud og påbud vedrørende brugerdata efter ophørt forsikringssamarbejde

Sagen omhandlede Dansk Boligforsikring A/S' (DBF) begæring om midlertidigt forbud og påbud over for WIA I/S (WIA) og Willis Towers...

2. juni 2023Læs mere

Lov

Forvaltningsloven

§9a

Søg i alle vores afgørelser