Ny afgørelse fra Datatilsynet: Brud på persondatasikkerheden hos Dantherm
Sagen kort
Datatilsynet blev bekendt med sagen efter, at Dantherm i forbindelse med et ransomwareangreb anmeldte brud på persondatasikkerheden til tilsynet.
Under angrebet fik hackerne adgang til Dantherms IT-miljø og lækkede oplysninger om nuværende og tidligere ansattes. Der skete læk af bankoplysninger, religiøse forhold, helbredsoplysninger og personnumre.
Hackerne fik adgang til en konto med administratorrettigheder kaldet "AV", som en ekstern konsulent tidligere havde benyttet. Under angrebet blev logfilerne for kontoen slettet. Det var derfor ikke muligt for Dantherm at svare på, om kontoen havde været aktiv eller deaktiveret.
Som følge af, at Dantherm ikke havde sikret, at brugere med administratorrettigheder ikke kunne slette eller ændre logfiler, modtog selskabet kritik for ikke at have truffet passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der var ved behandlingen af personoplysningerne.
Kritikken fra Datatilsynet gik også på, at Dantherm ikke kunne påvise eller skabe klarhed over, hvordan bruddet på persondatasikkerheden kunne opstå. Dermed havde Dantherm ikke levet op til kravet i databeskyttelsesforordningen om, at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandling af personoplysninger.
One-stop-shop
De lækkede oplysninger vedrørte både danske, tyske, polske og engelske medarbejdere. Sagen indeholdt dermed et grænseoverskridende element. På baggrund af den grænseoverskridende behandling af personoplysninger traf Datatilsynet afgørelse i sagen som ledende tilsynsmyndighed efter one-stop-shop-mekanismen.
Vores bemærkninger
Afgørelsen er den første offentliggjorte afgørelse fra Datatilsynet, hvor et egentligt ransomwareangreb har fundet sted. Med afgørelsen bliver det understreget, at det er vigtigt, at dataansvarlige ikke alene overholder de databeskyttelsesretlige regler, men at de også kan dokumentere, at reglerne iagttages.