Det britiske Datatilsyn: Bøde til Heathrow Airport på 120.000 GBP efter tab af USB-stik (3. oktober 2018)

3.10.2018

En privatperson havde fundet et USB-stik, som en ansat i lufthavnen havde tabt. USB-stikket var hverken krypteret eller beskyttet med et kodeord og indeholdt over 1000 af lufthavnens filer, herunder en oplæringsvideo med 10 personers personoplysninger samt oplysninger om op til 50 af lufthavnens sikkerhedsmedarbejdere. Oplysningerne var kun synlige i cirka 3 sekunder af videoen, hvor et åbent ringbind med oplysningerne var blevet optaget ved en fejl.

Personen, der fandt USB-stikket, overgav det til en avis, som kopierede stikkets indhold, hvorefter datatilsynet fik kendskab til sikkerhedsbruddet gennemavisen.

Lovbrud

  • På trods af lufthavnens retningslinjer om ikke at bruge flytbare medier såsom USB-stik, havde lufthavnen ikke sikret, at medarbejderne overholdte disse, da der var udbredt brug af USB-stik.  Der var dermed ikke implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Sanktion på GBP 120.000

Bøden blev udstedt på baggrund af de tidligere regler, der gjaldt, indtil GDPR trådte i kraft, fordi forholdet fandt sted i 2017. Sagen viser dog, hvor lidt der potentielt skal til for, at man kan blive pålagt en bøde.

Skærpende omstændigheder

  • Overtrædelsen var ikke begrænset til ét serviceområde, hvilket kunne medføre en risiko for personoplysninger i hele lufthavnen.
  • Lufthavnen skulle prioritere databeskyttelse højt som følge af den industri, lufthavnen tilhørte, og de følsomme personoplysninger, lufthavnen behandlede
  • Kun 2 % af lufthavnens personale var blevet undervist om databeskyttelse.
  • Selvom lufthavnen reagerede hurtigt for at begrænse følgerne af databruddet og undgå yderligere brud, havde lufthavnen ikke reageret tilstrækkeligt.

Kommentarer

Afgørelsen kan findes her.