Hvidovre Kommune politianmeldes for brud på persondatasikkerheden vedrørende videregivelse af beskyttede adresser

Sagen omhandler Hvidovre Kommunes håndtering af personoplysninger i den kommunale tandpleje. Kommunen havde en selvbetjeningsløsning, hvor forældre kunne tilgå breve fra tandplejen. Adgangen blev udvidet til samværsforældre med fælles forældremyndighed, og breve med børns adresser blev automatisk sendt til begge forældre. Problemet opstod, da flere børn havde navne- og adressebeskyttelse, hvilket betød, at fortrolige oplysninger blev videregivet uretmæssigt.

Centrale punkter:

• Kommunen gav begge forældremyndighedsindehavere adgang til breve med beskyttede adresser uden at vurdere, om videregivelsen var tilladt.
• Kommunen iværksatte automatisk fremsendelse af breve uden at vurdere, om oplysningerne måtte videregives.
• Datatilsynet fremhæver, at kommunen burde have foretaget en grundigere risikovurdering i forbindelse med ændringer i IT-systemerne.

Datatilsynet påpeger, at Databeskyttelsesforordningen stiller krav om passende behandlingssikkerhed, hvilket indebærer, at dataansvarlige skal sikre, at ændringer i IT-miljøer ikke får utilsigtede konsekvenser for de registrerede.

Datatilsynet har besluttet at politianmelde Hvidovre Kommune og indstille til, at kommunen idømmes en bøde på mindst 200.000 kr. for overtrædelse af databeskyttelsesreglerne.

Begrundelse for afgørelsen:

• Kommunen har overtrådt reglerne om behandlingssikkerhed i Databeskyttelsesforordningens artikel 83.
• Kommunens praksis med at videregive beskyttede adresser har potentielt haft alvorlige konsekvenser for de berørte borgere.
• Datatilsynet har lagt vægt på overtrædelsens karakter og alvor samt behovet for, at bøden skal være effektiv, stå i rimeligt forhold til overtrædelsen og have en afskrækkende virkning.