Kræftens Bekæmpelse pålægges bøde for datasikkerhedsbrud efter tyveri og hackerangreb
Kræftens Bekæmpelse er blevet idømt en bøde på 75.000 kroner for overtrædelse af GDPR-reglerne som følge af utilstrækkelig beskyttelse af deres it-systemer.
Sagen omhandler tyveri af 11 computere og efterfølgende hackerangreb, som kompromitterede følsomme oplysninger om kræftramte borgere.
Det skriver Ekstra Bladet.
Episoderne strakte sig over flere år fra 2018, og de omfattede først to indbrud, hvor organisationens computere blev stjålet. Derefter lykkedes det hackere via phishingangreb at skaffe sig adgang til medarbejderkonti og dermed oplysninger, der potentielt kunne eksponere kræftpatienters data.
Datatilsynet vurderede, at sikkerhedsbruddene var så alvorlige, at de i første omgang krævede en bøde på 800.000 kroner.
Københavns Byret valgte dog at fastsætte bøden væsentligt lavere med henvisning til, at Kræftens Bekæmpelse er en nonprofitorganisation med et godgørende formål. Direktør Jesper Fisker udtrykte lettelse over den reducerede bøde:
"Vi havde naturligvis hellere været bøden foruden, men vi er umiddelbart tilfredse med bødestørrelsen. Der er langt op til de 800.000 kr., som anklagemyndigheden havde nedlagt påstand om. Vi har hele tiden været af den holdning, at det beløb var alt for voldsomt," siger Fisker i en pressemeddelelse.
Retten lagde vægt på, at organisationen ikke havde sikret sine computere tilstrækkeligt med kryptering og multifaktorgodkendelse, og at sagsbehandlingstiden havde været unødvendigt lang.
Siden sikkerhedsbruddene har Kræftens Bekæmpelse indført flere tiltag for at styrke datasikkerheden, herunder kryptering af computere og tofaktor-godkendelse ved login. Organisationen oplyser, at der nu er stor fokus på GDPR og korrekt håndtering af personoplysninger.
Sagen kan ankes til Østre Landsret, og begge parter har to uger til at træffe en beslutning om dette.
