Datatilsynet indstiller Kræftens Bekæmpelse til bøde

Sagen kort

Bødeindstillingen kommer på baggrund af, at Kræftens Bekæmpelse i fire tilfælde har anmeldt brud på persondatasikkerheden til Datatilsynet. Af de fire tilfælde omhandlede to tyveri af computere og to såkaldte phishingangreb. Mindst 1.448 borgeres personoplysninger blev kompromitteret, blandt andet følsomme personoplysninger såsom sygdomshistorik.

Kræftens Bekæmpelse havde i 2018 et lignende brud på persondatasikkerheden og vurderede i den forbindelse, at organisationen burde indføre multifaktor-autentifikation til log-in på deres systemer for at øge sikkerhedsniveauet og beskyttelsen af personoplysninger. På trods af denne risikovurdering blev sikkerhedsforanstaltningerne dog ikke implementeret. Det blev medvirkende årsag til, at der skete kompromittering af mindst 1.448 borgeres personoplysninger.

Ved bødeindstillingen har Datatilsynet blandt andet lagt vægt på, at der ikke kun var tale om et enkeltstående tilfælde, men reelt flere alvorlige brud, der kunne være undgået ved at indføre ret basale sikkerhedstiltag. Det har navnlig haft betydning for valget af sanktion, at de foranstaltninger, som Kræftens Bekæmpelse i 2018 selv vurderede passende i forhold til behandlingen, ikke blev implementeret.

Ved udmålingen af bødestørrelsen har Datatilsynet taget højde for, at Kræftens Bekæmpelse er en forening, hvor størstedelen af indtægterne stammer fra donationer og private midler. Derfor er der også ved udmålingen alene taget udgangspunkt i indtægter fra genbrug, arrangementer og salg af merchandise, som svarer til omkring 10 % af foreningens samlede indtægter. 

Vores bemærkninger

Sagen viser, at det er helt afgørende, at dataansvarlige sørger for at føre deres risikovurderinger til dørs. Hvis den dataansvarlige i sin risikovurdering identificerer en særlig sikkerhedsforanstaltning, som er nødvendig at implementere, men ikke gør det, er der tale om en skærpende omstændighed.

Læs nyheden fra Datatilsynet her: Kræftens Bekæmpelse indstillet til bøde.