Sirius Advokater er blevet indstillet til en bøde på 500.000 kr. for ikke at have gennemført helt grundlæggende sikkerhedsforanstaltninger ved opsætning af fjernadgang til virksomhedens it-systemer med personoplysninger af særlig beskyttelsesværdig karakter.

Sirius Advokater anmeldte i marts 2020 et brud på persondatasikkerheden til Datatilsynet, efter de blev udsat for et hackerangreb. Ved angrebet fik hackere adgang til og krypterede advokatfirmaets servere, som indeholdt oplysninger om virksomhedens klienter og modparter. Herved opstod der alvorlig risiko for, at oplysningerne om personerne kom uvedkommende i hænde med potentiel skade for de pågældende til følge.

Mangel på grundlæggende sikkerhedsforanstaltninger

- Advokatfirmaer behandler i sagens natur mange oplysninger, som kræver en særlig beskyttelse. I dette tilfælde har Sirius advokater manglet basale sikkerhedsforanstaltninger, og det betød desværre, at bl.a. klienternes oplysninger blev kompromitteret. Man kan ikke gardere sig 100 % mod hackerangreb, men reglerne i GDPR kræver, at man gør en indsats for at undgå det, der svarer til risikoen, siger Betty Husted, fuldmægtig i Datatilsynet.

I systemer med et stort antal personoplysninger af særlig beskyttelsesværdig karakter, hvor kompromittering vil indebære en høj risiko for de registreredes rettigheder, skal den dataansvarlige have særligt kvalificerede sikkerhedsforanstaltninger til sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at Sirius Advokater ikke havde implementeret de sikkerhedsforanstaltninger, der som minimum forventes, når man benytter sig af fjernadgang til systemer, der ved kompromittering vil indebære en høj risiko for de registreredes rettigheder.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor og forordningens krav om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endvidere har det blandt andet indgået, at Sirius advokater på tidspunktet for bruddet var i gang med at implementere en multifaktor-autentifikationsløsning. Datatilsynet har samtidig lagt vægt på, at Sirius Advokater har ageret særdeles samarbejdsvillig i forhold til sagens oplysning.