Kræftens Bekæmpelse afventer afgørelse i sag om overtrædelse af databeskyttelsesforordningen
Først til efteråret forventes det, at byretten i København træffer afgørelse.
Københavns Byret har i dag, onsdag 19. juni 2024, behandlet en sag, hvor Datatilsynet har indstillet Kræftens Bekæmpelse til en bøde for ikke at have levet op til kravene i databeskyttelsesforordningen (GDPR) om passende sikkerhedsforanstaltninger.
Der blev ikke truffet afgørelse i sagen i dag. Det vil først ske på den anden side af sommerferien.
Kræftens Bekæmpelse blev i efteråret 2021 politianmeldt og indstillet til bøden af Datatilsynet for ikke at have levet op til kravene i EU’s databeskyttelsesforordning, også kendt som GDPR.
Der er tale om sikkerhedsbrud af ældre dato. Brudene er for længst håndteret, og der er efterfølgende gjort tiltag, så samme type brud ikke vil kunne ske igen.
Tyveri og phishing
Sagen omhandler fire hændelser, der fandt sted fra sommeren 2018 og to år frem, og som er foranlediget af fysisk tyveri af computere og phishingangreb fra datakriminelle.
Kræftens Bekæmpelse indberettede selv hændelserne til Datatilsynet, der i september 2021 valgte at gå videre med sagen.
Kræftens Bekæmpelses adm. direktør, Jesper Fisker, afgav i dag forklaring i byretten som repræsentant for foreningen. Han slog fast, at Kræftens Bekæmpelse både dengang som nu tager datasikkerhed meget alvorligt. Foreningen har indført en række tiltag, herunder såkaldt multifaktorgodkendelse, for at højne sikkerheden.
Ingen læk af personfølsomme data
Hændelserne med databrud omhandler ikke læk af personfølsomme data, som er relateret til Kræftens Bekæmpelses indsamlingsaktiviteter, medlemsbase eller forskning. Der er heller ikke tale om oplysninger fra patienters sygejournaler fra hospitalet eller praktiserende læge.
Jesper Fisker forklarede i vidneskranken, at man i foreningen slet ikke fører journaler, som man gør hos den praktiserende læge og på sygehusene.
Han understregede i vidneskranken, at foreningen ikke sad på hænderne, da databruddene skete, men at man tog det meget alvorligt og iværksatte tiltag med henblik på at højne datasikkerheden.
Afgørelse til efteråret
Datatilsynet har indstillet Kræftens Bekæmpelse til en bøde på 800.000 kroner. Først til efteråret træffer byretten afgørelse, om foreningen har handlet i strid med loven, og hvad en eventuel bøde skal lyde på.
Uanset hvad størrelsen på bøden bliver, vil udgifterne til den ikke blive taget fra midler, der er øremærket aktiviteter, som er planlagt gennemført i forhold til foreningens formål: At forske i kræft, forebygge kræft samt støtte patienter og pårørende.
Forsvarer i sagen er Pia Voldmester, partner i advokatvirksomheden Kromann Reumert, der fører sagen på vegne af Kræftens Bekæmpelse pro bono.