Kræftens Bekæmpelse er i Byretten i København blevet idømt en bøde på 75.000 kroner for brud på EU’s databeskyttelsesforordning, også kendt som GDPR.
Det har byretten truffet afgørelse om tirsdag 1. oktober. I en kommentar til dommen siger adm. direktør Jesper Fisker:
- Vi havde naturligvis hellere været bøden foruden, men vi er umiddelbart tilfredse med bødestørrelsen. Der er langt op til de 800.000 kr., som anklagemyndigheden havde nedlagt påstand om. Vi har hele tiden været af den holdning, at det beløb var alt for voldsomt, siger han i en pressemeddelelse.
Kræftens Bekæmpelse blev i efteråret 2021 politianmeldt og indstillet til bøden af Datatilsynet. Siden da har foreningen gennemført en lang række foranstaltninger og styrket IT-sikkerheden.
- Der er tale om sikkerhedsbrud, som ligger flere år tilbage og er blevet håndteret for længe siden. Som konsekvens af bruddene har vi gennemført en række tiltag for at sikre, at noget lignende ikke vil kunne ske igen, f.eks. kryptering af computere og to-faktor-systemer ved login. Vi har stor opmærksomhed på GDPR og håndtering af brugernes personoplysninger, siger Jesper Fisker.
Ingen læk af følsomme personoplysninger
Sagen handler om fire hændelser, der skete i 2019 og 2020. De skyldtes fysisk tyveri af computere og phishingangreb fra datakriminelle. Kræftens Bekæmpelse indberettede selv hændelserne til Datatilsynet, der i september 2021 politianmeldte Kræftens Bekæmpelse.
Hændelserne med databrud omhandler ikke læk af følsomme personoplysninger, som er relateret til Kræftens Bekæmpelses indsamlingsaktiviteter, medlemsbase eller forskning.
Udgifterne til bøden vil ikke blive taget fra midler, der er øremærket aktiviteter, som er planlagt gennemført i forhold til Kræftens Bekæmpelses formål: At forske i kræft, forebygge kræft samt støtte patienter og pårørende. Der er nu to ugers ankefrist på dommen.
Forsvarer i sagen har været Pia Voldmester, partner i advokatvirksomheden Kromann Reumert, der har ført sagen på vegne af Kræftens Bekæmpelse pro bono.