Favrskov Kommune er ikke enige i rettens vurdering af sagen. Foto: Mostphotos.

Favrskov Kommune har tabt en sag ved byretten i Randers mod Datatilsynet om brud på persondatasikkerheden.

Helt konkret drejer det sig om, at en bærbar computer blev stjålet i forbindelse med et indbrud i kommunens lokaler. Computerens harddisk var ikke krypteret, og den indeholdt oplysninger om navne og personnumre på ca. 100 borgere med nedsat fysisk og/eller psykisk funktionsevne.

Kommunen er dømt ud fra artikel 32 i databeskyttelsesforordningen. De skal betale en bøde på 75.000 kr. og sagens omkostninger.

Medarbejder brød interne regler

Op til indbruddet havde Favrskov Kommune planer om at kryptere deres bærbare computere. Det arbejde var ikke færdigt, da indbruddet skete.

Man havde indført andre tekniske foranstaltninger i form af et fjernskrivebord med Remote Desktop Services, som gør, at når forbindelsen afbrydes, er der ikke data tilbage på pc’en. Man havde også oplyst medarbejderne om, at de ikke måtte gemme personfølsomme data lokalt på de bærbare enheder.

En af kommunens medarbejdere havde alligevel installeret et program lokalt på sin bærbare enhed om gemt cpr-nummer, navn og adresse på ca. 100 udsatte borgere.

På trods af foranstaltningerne og bruddet på interne regler tabte Favrskov Kommune alligevel sagen. Retten lagde især vægt på, at Favrskov Kommune burde være opmærksom på risikoen for, at ikke alle medarbejdere fulgte de interne retningslinjer, og at der generelt er risiko for tyveri eller anden bortkomst, når medarbejdere har en bærbar computer til rådighed.

Risikerer vidtrækkende konsekvenser

Formand for de kommunale it-chefer og it-chef i Favrskov Kommune, Henrik Brix, er ikke tilfreds med afgørelsen, da det ikke er et direkte lovkrav, at kommuner skal have krypteret deres harddiske.

Overfor Computerworld oplyser han, at dommen kan skabe præcedens for, at kommuner skal have krypterede harddiske, selvom det ikke står noget sted. Og at de risikerer bøder, hvis enkelte ansatte bryder kommunens regler, selvom den ansattes handlinger ikke er en del af kommunens praksis.

”Retten siger, at vi må påregne, at medarbejdere ikke følger retningslinjerne, og så må vi indføre foranstaltninger for at imødegå det, og hvis man udbreder det, så har det ret vidtrækkende konsekvenser,” siger Henrik Brix til Computerworld.