Kommunen anmeldt til politiet: Indstillet til bøde på 200.000 kroner for databrud i 2021

Kommunen anmeldt til politiet: Indstillet til bøde på 200.000 kroner for databrud i 2021

Har måttet erkende manglende sikkerhed omkring navne og adresser i IT-systemet.

Datatilsynet har indstillet Hvidovre Kommune til en bøde på mindst 200.000 kr. for manglende sikkerhed ved håndtering af navne og adresser i et IT-system i Tandplejen. Fejlen blev rettet tilbage i 2021.

Ifølge ligestillingsloven skal forældremyndighedsindehavere have information og adgang til deres barns oplysninger i Tandplejens journalsystem. Men hvis barnet sammen med den ene forældre har adressebeskyttelse på grund af den anden forælder, må adressen ikke fremgå af breve eller anden information, der sendes ud. Desværre skete dette flere gange i Tandplejen i Hvidovre Kommune fra 2017-2021.

- Vi var og er ærgerlige over dette databrud, og vi er kede af den bekymring, som det kan have givet de berørte borgere. Vi har tilbage i 2021 været i kontakt med de berørte og beklaget, at Tandplejen uforvarende var kommet til at vise adresser på børn og forældre, der kan have været under beskyttelse mod den anden forældre. Det er samtidig vigtigt for os at understrege, at der allerede i 2021 blev rettet op på fejlen, og at forældre og børn med adressebeskyttelse ikke skal være bekymrede, siger direktør Tine Larting i Hvidovre Kommune.

Hun tilføjer, at Hvidovre Kommune ikke er bekendt med, at borgere skulle have været udsat for chikane eller fare som følge af databruddet i Tandplejen i 2021.

Tandplejens IT-system tog dengang ikke højde for navne- og adressebeskyttelse, og hvis begge forældre havde forældremyndighed, sendte IT-systemet automatisk breve til begge, og begge kunne via systemet også se beskeder og tandpleje-aftaler for deres barn. Barnets adresse fremgik både i breve og bookinger – også selvom barnet havde adressebeskyttelse.

Hvidovre Kommune anmeldte selv databruddet til Datatilsynet i 2021, da Tandplejen blev opmærksom på, at systemet kun tog højde for ligestillingsloven men ikke automatisk fjernede adresser på forældre med adresse-beskyttelse. Samtidig blev 64 borgere, som havde været berørt af fejlen, kontaktet, og der blev indført en ny procedure i Tandplejen, så adresser på borgere med adressebeskyttelse blev fjernet manuelt i breve og i booking-systemet. I 2022 ændrede leverandøren IT-systemet, så det nu tager højde for adressebeskyttelse.

Datatilsynet har behandlet sagen om databruddet i Hvidovre Kommunes Tandpleje, og har nu anmeldt kommunen til politiet for overtrædelse af databeskyttelsesforordningens artikel 32 stk. 1 om passende behandling af personoplysninger.

Nu fokus på sikkerheden

Hvidovre Kommune risiko- og trusselsvurderer alle nye IT-systemer, inden de bliver taget i brug, og belært af sagen i Tandplejen er kommunen også blevet opmærksom på, at der skal være fokus på sikkerheden, når der sker ændringer i IT-systemer eller brugen af dem.

Det var tandplejen i en anden kommune, som i 2021 gjorde Hvidovre Kommunes tandpleje opmærksom på, at IT-systemet ikke automatisk tog højde for navne- og adressebeskyttelse.

(Model foto)