Kræftens Bekæmpelse risikerer kæmpe bøde
1448 borgeres oplysninger var ikke beskyttet godt nok af Kræftens Bekæmpelse, mener Datatilsynet
Datatilsynet har anmeldt Kræftens Bekæmpelse til politiet og indstillet til en bøde på 800.000 kroner, fordi organisationen gentagne gange ikke har været god nok til at beskytte kræftsyge borgeres helbredsoplysninger.
Mindst 1448 borgeres oplysninger er blevet kompromitteret. Det oplyser Datatilsynet på sin hjemmeside.
- Når kræftsyge borgere betror deres helbredsoplysninger til andre, skal de kunne være trygge ved, at der bliver passet ordentligt på dem, siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet.
- I dette tilfælde har vi ikke kun set enkeltstående smuttere, men flere alvorlige brud, der faktisk kunne være undgået gennem ret basale tiltag, siger han i en skriftlig kommentar.
Fire tilfælde
Kræftens Bekæmpelse er politianmeldt for ikke at have levet op til GDPR-kravene, der handler om databeskyttelse.
Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse selv har kontaktet Datatilsynet, fordi der har været brud på persondatasikkerheden.
Det var i to tilfælde, hvor computere var blevet stjålet, og to tilfælde af hackerangreb.
Kræftens Bekæmpelse erkender, at man ikke har været god nok til at beskytte oplysningerne.
Det er ikke godt nok
- Kræftens Bekæmpelse tager datasikkerhed meget alvorligt, og vi beklager de skete databrud.
- Vi har ikke gjort vores arbejde godt nok og hurtigt nok. Det er vi kede af, siger it-chef i Kræftens Bekæmpelse Annette Heckscher i en skriftlig kommentar.
Ifølge Kræftens Bekæmpelse er det ikke personfølsomme oplysninger, der er tale om. Men det drejer sig om navne, e-mail-adresser og i nogle tilfælde patienters beretninger om deres sygdom.
Annette Heckscher understreger, at Kræftens bekæmpelse har lavet en række sikkerhedsforanstaltninger for at undgå en gentagelse. Det gælder blandt andet kryptering af computerne.
Regnes ud efter indtægten
Bøden er fastsat ud fra Kræftens Bekæmpelse indtægter. Datatilsynet har taget hensyn til, at størstedelen af pengene stammer fra donationer og private midler.
Derfor er bøden sat ud fra de indtægter, som Kræftens Bekæmpelse har fra genbrug, arrangementer og salg af merchandise.
Bøden på 800.000 kroner er cirka midt i intervallet af, hvad myndigheder og virksomheder de seneste år har fået for brud på reglerne om databeskyttelse.
Her har bøderne svinget mellem 50.000 og op til 1,5 millioner kroner.
Politiets afgørelse
Det er nu op til politiet at afgøre, om der skal rejses sigtelse, og herefter skal en domstol tage stilling til, om Kræftens Bekæmpelse i så fald skal have en bøde.
Kræftens Bekæmpelse oplyser, at en eventuel bøde vil blive finansieret via besparelser, der har været under coronaudbruddet på blandt andet rejser, møder og aktiviteter.