Datatilsynet indstiller Lejre Kommune til bøde

Datatilsynet indstiller Lejre Kommune til en bøde på 50.000 kr. for ikke at have levet op til kravene i EU’s databeskyttelsesforordning.

Skrevet den. 30. juni 2020

Anmeldelsen gælder en sag, som kommunen underrettede Datatilsynet om i november sidste år. Her konstaterede kommunen, at der på Lejre kommunes intranet, ”medarbejderportalen”, lå dokumenter med følsomme personoplysninger om socialsager, herunder om børn og unge under 18 år. Dokumenterne lå i et digitalt arbejdsrum for medarbejderne i den afdeling, som sagerne hørte under. Teoretisk set var det muligt for medarbejderportalens brugere at tilgå sagerne, hvis de aktivt søgte efter dem. Lejre Kommune har dog ingen viden om eller konkrete eksempler på, at det faktisk er sket. 

Lejre Kommune besluttede i samråd med kommunens Data Protection Officer (DPO), advokatfirmaet Bech-Bruun, at indberette hændelsen til Datatilsynet.

”Det er en klar fejl, at sagerne har ligget tilgængelige på medarbejderportalen, og derfor anmeldte vi øjeblikkeligt sagen til Datatilsynet”, siger kommunaldirektør Inger Marie Vynne, og fortsætter:

”Ud over den kritik, som Datatilsynets afgørelse er udtryk for, så hæfter jeg mig ved, at Datatilsynet er enige i Lejre Kommunes vurdering af, at det ville kræve en uforholdsmæssig stor indsats, hvis vi individuelt skulle underrette de 452 borgere, som sagerne vedrørte. Datatilsynet mener til gengæld, at Lejre Kommune burde have underrettet ved en offentlig, generel meddelelse på kommunens hjemmeside, og det tager jeg til efterretning”.

Siden november 2019 har Lejre Kommune gennemført flere informationskampagner, hvor kommunens politik for opbevaring og sletning af dokumenter er blevet indskærpet over for ledere og medarbejdere. Kommunen gennemfører løbende stikprøvekontroller for at sikre, at politik og retningslinjer overholdes.