Datatilsynet har i dag meldt Kræftens Bekæmpelse til politiet og indstillet til en bøde for ikke at have levet op til kravene i GDPR om passende sikkerhedsforanstaltninger. Mindst 1.448 borgeres oplysninger - herunder følsomme personoplysninger om helbred - blev kompromitteret.

- Når kræftsyge borgere betror deres helbredsoplysninger til andre, skal de kunne være trygge ved, at der bliver passet ordentligt på dem. I dette tilfælde har vi ikke kun set enkeltstående smuttere, men flere alvorlige brud, der faktisk kunne være undgået gennem ret basale tiltag, siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

- Selv om advarselslamperne har blinket gennem noget tid, har Kræftens Bekæmpelse ikke gennemført de initiativer, de selv har vurderet som nødvendige, og konsekvensen har været yderligere nye sikkerhedsbrud.

Manglende implementering af sikkerhedsforanstaltninger
Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse har konstateret brud på persondatasikkerheden og selv anmeldt dem til Datatilsynet. To af dem vedrørte tyveri af computere, mens to omhandlede phishingangreb - og alle fire skyldtes, at Kræftens Bekæmpelse havde undladt at implementere sikkerhedsforanstaltninger, som de selv havde vurderet som passende.

Den vurdering skete på baggrund af lignende brud på persondatasikkerheden i august 2018, hvor foreningen blev udsat for hackerangreb i form af phishing og spoofing. I forbindelse med dette angreb vurderede Kræftens Bekæmpelse selv, at de burde øge beskyttelsen gennem multifaktor-autentifikation (dvs. at man bruger to eller flere faktorer til at logge på systemer o.l.), men dette blev ikke implementeret.

Konsekvensen blev, at Kræftens Bekæmpelse ikke var i stand til at forebygge eller forhindre de efterfølgende brud på persondatasikkerheden, og uvedkommende fik uautoriseret adgang til personoplysninger, der blev opbevaret i medarbejdernes Outlook eller lokalt på medarbejdernes computere.

Mindst 1.448 personers oplysninger blev kompromitteret, og i flere tilfælde omfattede de følsomme personoplysninger i form af helbredsoplysninger, herunder sygehistorik.

Som dataansvarlig skal man vurdere, hvilke foranstaltninger der er passende i forhold til den behandling, man foretager sig. Når man har vurderet, hvad der er passende sikkerhed, er det væsentligt, at man sørger for at få implementeret disse tiltag. Hvis man ikke gør det, har man selv vurderet, at ens måde at behandle personoplysninger ikke er tilstrækkeligt sikker. Det er særligt vigtigt, at man er tro mod sin risikovurdering, når man behandler oplysninger om mange personer og oplysninger om helbredsforhold.

Donationer indgår ikke i beregning af bødestørrelse
- Selv om vi har forståelse for den indsats, der ydes til bekæmpelse af kræft, må vi også stå fast på, at hvis man som en del af arbejdsområdet normalt behandler folks personlige oplysninger til sygdomsforebyggelse, sorggrupper eller lignende, er man nødt til også at leve op det ansvar, der følger med. I sidste ende er det et spørgsmål om tillid, som man også skal gøre sig fortjent til, når man arbejder i den gode sags tjeneste, siger Allan Frank.

Datatilsynet er dog opmærksom på, at Kræftens Bekæmpelse er en organisation, hvor størstedelen af foreningens indtægter stammer fra donationer og private midler. I beregningen og vurderingen af bødens størrelse har Datatilsynet alene taget udgangspunkt i Kræftens Bekæmpelses indtægter fra genbrug, arrangementer og salg af merchandise og andre produkter, hvilket svarer til omtrent 10 procent af foreningens samlede indtægter.