Lovguiden Logo

Command Palette

Search for a command to run...

Lyngby-Taarbæk Kommune politianmeldt for manglende sikkerhedsforanstaltninger og risikerer bøde

Dato

27. november 2024

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederPolitianmeldelseAnmeldt brud på persondatasikkerhedenAdgangskontrolBehandlingssikkerhedHacking o.l.Uautoriseret adgang

Lovreferencer

Databeskyttelsesloven § 5, stk. 1Forvaltningsloven § 9a

Lyngby-Taarbæk Kommune er blevet politianmeldt af Datatilsynet og indstillet til en bøde på mellem 350.000 og 400.000 kr. Sagen omhandler flere tilfælde af manglende overholdelse af kommunens forpligtelser som dataansvarlig, specifikt vedrørende implementering af passende sikkerhedsforanstaltninger.

Centrale problemstillinger

  • Manglende brugerstyring: Kommunen havde ikke tilstrækkelige retningslinjer og procedurer for nedlæggelse af brugeradgange til it-systemer, herunder KMD Nexus, hvilket resulterede i, at tidligere medarbejdere fortsat havde adgang til systemet.
  • Uautoriseret adgang: Mindst 1.000 tidligere medarbejdere havde fortsat adgang til KMD Nexus, der indeholdt personoplysninger om ca. 30.000 borgere. En tidligere medarbejder misbrugte adgangen til at tilgå oplysninger om 1.022 borgere.
  • Kompromitterede loginoplysninger: En uvedkommende misbrugte en medarbejders loginoplysninger, hvilket gav adgang til Office-tjenester (Outlook, OneNote og SharePoint) med oplysninger om ca. 5.000 borgere, ansatte og samarbejdspartnere.
  • Manglende flerfaktorautentifikation: Kommunen havde ikke implementeret flerfaktorautentifikation eller anden effektiv sikring af fjernadgangsforbindelser til KMD Nexus og Microsoft-tjenesterne, som kunne tilgås direkte fra internettet.

Datatilsynet undersøgte, om kommunen havde tilstrækkelige sikkerhedsforanstaltninger, da de nævnte systemer blev taget i brug i henholdsvis 2016 og 2018. Tilsynet vurderede, at de manglende sikkerhedsforanstaltninger udgjorde en betydelig risiko for uvedkommendes adgang til personoplysninger.

Afgørelse

Datatilsynet har indstillet Lyngby-Taarbæk Kommune til en bøde på 350.000 - 400.000 kr. og politianmeldt kommunen for manglende overholdelse af Databeskyttelsesforordningen § 6, stk. 1 og Databeskyttelsesloven § 5.

Begrundelse

Datatilsynet har lagt vægt på følgende:

  • Kommunen har i flere tilfælde og over en længere periode undladt at implementere grundlæggende sikkerhedsforanstaltninger.
  • Kommunen havde ikke implementeret passende retningslinjer og procedurer for brugerstyring, selvom kommunen ved flere lejligheder var blevet gjort opmærksom på mangler på området.
  • De manglende sikkerhedsforanstaltninger har været aktuelle siden 2016 og 2018, hvor Microsoft-tjenesterne og KMD Nexus blev taget i brug.
  • Bøden skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, samt tage hensyn til kommunens størrelse.

Lignende afgørelser