Lejre tiltalt for databrud: Fri adgang til følsom data om mindreårige

LEJRE: Lejre Kommune er blevet tiltalt for et brud på gdpr og skal nu i retten i Roskilde med en påstået bødestraf på 50.000 kr. Det fremgår af anklageskriftet, som DK Nyt har fået indsigt i. 

Kommunen er tiltalt for ikke at have passet ordentligt på flere indstillingsskemaer, som kommunens Center for Børn og Unge havde uploadet til kommunens medarbejderportal.  

Skemaerne indeholdt navn, fødselsdato, kontaktoplysninger, personnummer, økonomiske og strafbare forhold, etnicitet, seksuelle forhold eller orientering samt oplysninger om helbred, herunder psykiske og fysiske lidelser, om 452 borgere, hvoraf 402 borgere var mindreårige. 

Oplysningerne var tilgængelige på medarbejderportalen uden nogen form for adgangskontrol i perioden 25. maj 2018 til 5. november 2019. Således kunne hele kommunes medarbejdere tilgå de følsomme oplysninger.

Der var heller ingen registrering af, hvem der tilgik oplysningerne, i den tid de lå frit tilgængelige. 

Udløste alvorlig kritik

Lejre Kommune anmeldte selv databruddet til Datatilsynet, der i juni sidste år politianmeldte og indstillede kommunen til en bøde på 50.000 kr. 

Dengang lagde tilsynet vægt på overtrædelsens karakter samt mængden og karakteren af de personoplysninger, som har været udsat for sikkerhedsbruddet, da de skulle vurdere bødestørrelsen. Politiet er dermed enig i tilsynets vurdering.

Inden politianmeldelsen gav Datatilsynet desuden alvorlig kritik af, at kommunen manglede at underrette de berørte personer, hvis oplysninger lå frit tilgængelig. 

Lejre Kommune vil ikke kommentere på verserende sager.