Datatilsynet blev opmærksom på sagen, da en klagers partsrepræsentant klagede over Civilstyrelsens håndtering af klagers oplysninger.

Af sagen fremgår det, at Civilstyrelsen v/Erstatningsnævnet returnerede et USB-stik til klageren, der indeholdt mere end 800 siders oplysninger om klager af følsom og fortrolig karakter, som ved klagerens modtagelse var forsvundet.

USB-stikket var ikke krypteret, og styrelsen havde i øvrigt ikke retningslinjer målrettet styrelsens sagsbehandlere med hensyn til enhver håndtering af udtagelige lagringsmidler og bærbare medier.

Civilstyrelsen blev bekendt med bruddet den 26. august 2020, men anmeldte herefter ikke bruddet til Datatilsynet i strid med reglerne i databeskyttelsesforordningens artikel 33.

Manglende tekniske og/eller organisatoriske foranstaltninger

Datatilsynet finder, at Civilstyrelsens behandling af personoplysninger ikke har været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet har ved vurderingen lagt vægt på, at kryptering af udtagelige lagringsmidler, der indeholder personoplysninger (herunder USB-stik) må anses for at være en nødvendig og påkrævet sikkerhedsforanstaltning.

I forlængelse heraf har tilsynet tillagt det betydning, at udtagelige lagringsmidler med personoplysninger har en skærpet risikoprofil i forhold til håndteringen af personoplysninger, og at kryptering er en foranstaltning, der er relativt let for den dataansvarlige at gennemføre.

Herudover har Datatilsynet lagt vægt på, at styrelsen ikke havde retningslinjer målrettet og kendt af styrelsens sagsbehandlere i forhold til enhver håndtering af USB-stik, herunder afsendelse.