Efter læk af personlige data: Sådan kan Herning Kommune blive straffet
Der er tidligere udgivet bøder på op mod 1,2 millioner kroner i sager, hvor følsom data er blevet brugt.
Torsdag måtte Herning Kommune sende breve ud til 1700 borgere, fordi kommunen ved en fejl havde lagt følsomme persondata omkring borgerne tilgængeligt på nettet.
Det kan få konsekvenser for kommunen, fordi de har brudt persondataforordningen - dagligt kaldet GDPR - som har til formål at beskytte netop personoplysninger.
- Datatilsynet kan udtale kritik, de kan udstede ophør – så kommunen får forbud om at lukke for tjenesten - og de kan udstede bøder, siger formanden for Rådet for Digital Sikkerhed, Henning Mortensen.
Formanden slår dog fast, at Datatilsynet ikke kan udstede bøder endnu, fordi der endnu ikke har været nok principielle sager af den slags. Derfor skal de overdrage eventuelle klagesager med bøder til politiet.
- Det lyder til, at der kan være brud på artikel 25 og 32 i persondataforordningen. Hvis det er sådan, at det faktuelt kan slås fast, at udnyttelsen af sårbarheden er sket af eksterne, så er det en skærpet omstændighed. I det lys ville jeg hælde mod, at det kunne give en bøde til kommunen eller til deres leverandør, hvis sikkerheden ikke har været tilstrækkelig, siger Henning Mortensen.
Sådan kan CPR-nummeret misbruges
Frygten ved, at et CPR-nummer eller andre følsomme persondata, stjæles er, at det kan misbruges.
Et sådan misbrug kan ske på mange forskellige måder, vurderer Henning Mortensen.
- Det, man kan bruge et CPRnummer til, er et identitetstyveri, hvor man med større vægt kan give sig ud for at være en anden. Man kan eksempelvis stjæle identitet, forsøge at optage lån eller oprette sig på en tjeneste og forsøge at udgive sig for at være en specifik person, siger han.
Hvis man finder ud af, at ens følsomme persondata er blevet misbrugt, kan man søge erstatning.
Men det kræver, at man har beviserne på sin side. Også i sagen med Herning Kommune.
- Hvis man skal søge erstatning, skal man have lidt beviselig skade som følge af det her. Dem, der søger, skal kunne dokumentere, at de har lidt skade. Hvis de kan det, kan de formodentlig søge erstatning. Der er ingen præcedens, så det vil nok blive et lavt beløb – afhængigt af, hvad der er sket, siger Henning Mortensen.
Bøder er vokset meget
En ny persondataforordning trådte i kraft den 25. maj 2018. Det betød, at Datatilsynet, der behandler klager, fik mange flere sager end tidligere.
- Datatilsynet er druknet i sager. Vi kommer til at se væsentligt flere bøder fremad. Og det bliver store bøder. Den største, der blev givet før den 25. maj, var på 25.000 kroner. Nu er der givet en bøde på 1,2 millioner, siger Henning Mortensen.
Bøden på 1,2 millioner kroner blev givet til taxafirmaet Taxa 4x35, fordi de ifølge Datatilsynet ikke slettede en række kunders oplysninger.