Der kommer løbende nyt på databeskyttelsesfronten, og selvom GDPR-jurister synes, at alt er spændende, får du her sammendrag af nogle udvalgte afgørelser og nyheder, som er relevante for KFST og dermed dig som medarbejder.
Bøde på 200.000 kr. til kommune for manglende kryptering
Vejen Kommune havde fået stjålet fem bærbare computere, hvoraf de tre ikke var krypterede – det gjaldt i øvrigt også op mod 300 andre computere i kommunen – selvom de indeholdt oplysninger om bl.a. elever med særlige udfordringer. Datatilsynet politianmeldte med bødeindstilling på 200.000 kr., da kryptering er en basal sikkerhedsforanstaltning. Retten i Esbjerg fulgte indstillingen og idømte d. 22. april 2025 kommunen en bøde på 200.000 kr.
Relevans for KFST og dig som medarbejder
I KFST er vores arbejdscomputere krypteret af Statens It, hvorved personoplysninger og andet data på computerne er beskyttet. Dog skal du også beskytte personoplysninger, når du sender dem, fx til leverandører eller sagsparter, særligt hvis der er tale om fortrolige og følsomme personoplysninger samt personoplysninger om strafbare forhold. I Outlook gør du det ved at bruge ”Send Digitalt”, men du kan også kryptere filer ved at bruge 7zip. Du kan læse mere om, hvordan du gør på Intra og i Retningslinjer for medarbejdere om informationssikkerhed (se link til højre).
To principielle landsretsdomme med bøder til offentlige myndigheder
Den første dom blev afsagt 19. februar 2025 af Østre Landsret, hvor en kommune fik en bøde på 50.000 kr. for overtrædelse af GDPR. I den kommunale tandplejes selvbetjeningsløsning havde forældre, der ikke delte bopæl med barnet, som var patient hos tandplejen, i flere tilfælde kunnet få adgang til oplysninger om bopælsforælderen og barnets adresse, selvom de havde navne- og adressebeskyttelse.
Kort efter – d. 27. marts 2025 – afsagde Vestre Landsret dom i forhold til en anden kommunes brug af det samme tandplejesystem og samme type overtrædelse. Landsretten idømte kommunen en bøde på 100.000 kr.
Dommene fastslår, at der ved bødeberegning bl.a. lægges vægt på (1) antallet af berørte registrerede, (2) bruddets alvorlighed ud fra dets mulige eller indtrådte skadevirkninger, (3) grad af skyld, (4) om bruddet er anmeldt til Datatilsynet, (5) om der er gjort en indsats for at rette op på bruddet og undgå senere, ensartede brud, (6) om bruddet kunne være undgået, (6) om den dataansvarlige er tidligere straffet af relevans for sagen, og (7) om der ved bruddet er opnået økonomiske fordele eller undgået tab-
Relevans for KFST og dig som medarbejder
Dommene er principielle, da de er de første, der vedrører bødeberegning for offentlige myndigheder. I tilfælde af at KFST overtræder GDPR på en måde, der medfører bødeindstilling, vil de derfor være retningsgivende for beregningen og størrelsen af bøden. Samtidig understreger de vigtigheden af, at vi i KFST fortsat har fokus på at sikre et tilstrækkeligt beskyttelsesniveau for behandling af personoplysninger, og at vi – hvis der skulle ske et brud på persondatasikkerheden – reagerer hurtigt og forsøger at minimere skaden.
Det er derfor vigtigt, at du kan identificere et brud og i så fald agerer i henhold til KFST’s retningslinjer for brud på persondatasikkerheden.. Det er særligt vigtigt, at du forsøger at minimere skaden og indenfor 30 minutter kontakter ADM via styringogit@kfst.dk med cc til Torben B. Olesen (tool@kfst.dk) og din nærmeste leder. På den måde er du med til at sikre, at personoplysninger beskyttes mest muligt – selv når uheldet er ude.
Bødeindstilling på 350.000-400.000 kr. for manglende sikkerhedsforanstaltninger
Datatilsynet har politianmeldt Lyngby-Taarbæk Kommune med bødeindstilling på 350.000-400.000 kr. for ikke at have retningslinjer og procedurer for nedlæggelse af brugeradgange samt manglende regelmæssig kontrol med brugeradgange til et system på omsorgsområdet. Dette medførte, at mindst 1.000 tidligere medarbejdere fortsat havde adgang og kunne tilgå personoplysninger om ca. 30.000 borgere efter ansættelsens ophør. Den uretmæssige adgang var tilmed blevet misbrugt i mindst ét tilfælde, hvor en tidligere medarbejder tilgik oplysninger om 1.022 borgere. Derudover havde kommunen ikke installeret flerfaktorautentifikation eller anden effektiv sikkerhedsforanstaltning i forbindelse med eksterne adgangsforbindelser, hvilket gav en uvedkommende, der misbrugte loginoplysninger for en medarbejder ved kommunen, adgang til medarbejderens Office-tjenester med oplysninger om ca. 5.000 borgere, ansatte og samarbejdspartnere.
Relevans for KFST og dig som medarbejder
Adgangsstyring er også relevant i KFST – både mellem centre, hvis ikke alle centre skal kunne tilgå en sag, eller mellem teams i de enkelte centre, hvis kun enkelte medarbejdere skal have adgang til en sag eller et dokument. Det er derfor vigtigt, at du allerede ved oprettelsen af en sag eller et dokument i 360 overvejer, om det skal gøres fortroligt. I centrene skal det også overvejes, hvem der skal tildeles rettigheder til en funktionspostkasse, og det bør løbende vurderes, om alle med adgang fortsat har behov herfor.
Derudover sørger ADM for, at en bruger nedlægges, når en medarbejder stopper, da det herved sikres, at kun ansatte hos KFST kan tilgå styrelsens systemer og data.
Det internationale aspekt: Milliardbøde til TikTok
TikTok har d. 2. maj 2025 fået en bøde på knap 4 milliarder kroner samt påbud om at bringe behandlingen i overensstemmelse med GDPR indenfor et halvt år af det irske datatilsyn. TikTok har overtrådt GDPR ved at overføre personoplysninger om brugere i EU/EØS til Kina uden at sikre et tilstrækkeligt beskyttelsesniveau og uden at informere om overførslerne.
Relevans for KFST og dig som medarbejder
I KFST er der enkelte systemer, der kan medføre (begrænsede) tredjelandsoverførsler. ADM sikrer, at tredjelandsoverførsler sker i overensstemmelse med GDPR gennem risikovurderinger, retningslinjer mv., og arbejder kontinuerligt på at begrænse eller stoppe dem.
Selvom ADM følger udviklingen på området, er du meget velkommen til at kontakte styringogit@kfst.dk, hvis du hører om eller kender europæiske systemer, som kunne være alternativer til eksisterende systemer.
Derudover skal du huske, at du ikke må installere TikTok på dine arbejdsenheder. Hvis du har TikTok installeret på dine private enheder, må du heller ikke medbringe enhederne til møder i KFST eller departementet eller koble dem til KFST’s wifi (SIT-BOYD).
Databeskyttelsesordliste
Til slut lidt ”reklame” for Datatilsynets ordliste, der indeholder en lang række databeskyttelsesretlige begreber, fx anonymisering og uautoriseret adgang, som måske kan være til hjælp, hvis du bliver i tvivl om databeskyttelsesretlige begreber i hverdagen – eller blot til hyggelæsning for den databeskyttelsesretligt interesserede.