Kræftens Bekæmpelse bliver indstillet til bøde af Datatilsynet
Kræftens Bekæmpelse er varslet om, at Datatilsynet politianmelder og indstiller foreningen til en bøde for ikke at have levet op til kravene i GDPR. Kræftens Bekæmpelse ser med stor alvor på anmeldelsen og beklager de databrud, der ligger til grund for den. Sikkerhedsbruddene er håndteret og er af ældre dato.
- Kræftens Bekæmpelse tager datasikkerhed meget alvorligt, og vi beklager de skete databrud. Vi har ikke gjort vores arbejde godt nok og hurtigt nok. Det er vi kede af, siger IT-chef i Kræftens Bekæmpelse Annette Heckscher.
Datatilsynet har varslet, at det i morgen, torsdag 30. september, vil politianmelde Kræftens Bekæmpelse og indstille foreningen til en bøde på 800.000 kroner for ikke at have levet op til kravene i persondatadirektivet (GDPR) om passende sikkerhedsforanstaltninger.
Datatilsynets anmeldelse vedrører fire hændelser, hvor Kræftens Bekæmpelse konstaterede brud på persondatasikkerheden, og hvor foreningen selv anmeldte hændelserne til Datatilsynet. To sager vedrører fysisk tyveri af computere i oktober og december 2019. To sager omhandler såkaldte phishingangreb fra datakriminelle i februar og maj 2020.
Tager sagen meget alvorligt
Datatilsynet har konstateret, at mindst 1.448 personers oplysninger er blevet eksponeret i forbindelse med hændelserne, der er blevet håndteret med dybeste alvor i Kræftens Bekæmpelse.
De berørte personer blev i 2019 og 2020 orienteret om hændelserne af Kræftens Bekæmpelse. Man har i Kræftens Bekæmpelse ikke viden om, at der er sket misbrug af dataoplysningerne.
- Det skal understreges, at de fire hændelser, der ligger til grund for anmeldelsen, ikke omhandler læk af personfølsom data, som er relateret til vores indsamlingsaktiviteter, medlemsbase eller forskning. Der er heller ikke tale om oplysninger fra patienters sygejournaler fra hospitalet eller praktiserende læge. Det, der er blevet eksponeret, er eksempelvis navne på personer, email-adresser og i nogle tilfælde patienters beretning om deres sygdom, siger IT-chef Annette Heckscher.
Højere sikkerhedsniveau
Siden databruddene i 2019 og 2020 har Kræftens Bekæmpelse gennemført en række sikkerhedsforanstaltninger i bestræbelserne på at leve op til GDPR, f.eks. kryptering af computere og to-faktor-systemer ved login.
- Vi er overbeviste om, at de fire hændelser ikke kan ske i dag, hvor vi har et langt højere sikkerhedsniveau. Men vi følger naturligvis op på anmeldelsen ved øjeblikkeligt at gennemgå vores systemer og procedurer for at se, om der kan strammes yderligere op, siger IT-chef Annette Heckscher.
Under coronakrisen har Kræftens Bekæmpelse reduceret sine udgifter pga. aflyste aktiviteter, møder og tjenesterejser. En bøde vil blive betalt via disse besparelser. Der går ikke midler fra aktiviteter, der er planlagt gennemført i forhold til foreningens formål: Forskning i kræft, forebyggelse og patientstøtte.