Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga hjá Dalvíkurbyggð í máli nr. 2025020655 (áður 2024061085):

Málsmeðferð

Tildrög máls

1. Hinn 14. maí 2023 varð öryggisbrestur hjá Dalvíkurbyggð þegar utanaðkomandi aðili komst inn fyrir varnir tölvukerfis sveitarfélagsins. Barst Persónuvernd tilkynning um brestinn 15. maí 2023.

2. Með tölvupósti 8. ágúst 2023 óskaði Persónuvernd upplýsinga um þær öryggisráðstafanir sem viðhafðar voru í tölvukerfi sveitarfélagsins í aðdraganda öryggisbrestsins. Svar Dalvíkurbyggðar barst Persónuvernd með tölvupósti 5. september s.á. Með svari sveitarfélagsins fylgdi meðal annars minnisblað Netkerfa og tölva ehf. (Netkerfi og tölvur). Að auki barst Persónuvernd atvikaskýrsla ITSecurity ehf. (Secure IT) vegna öryggisbrestsins 7. s.m. Með bréfi 9. nóvember s.á. óskaði Persónuvernd nánari upplýsinga um umfang og orsök öryggisbrestsins. Bárust svör Dalvíkurbyggðar með tölvupósti 13. desember s.á.

3. Með bréfi 5. júlí 2024 tilkynnti Persónuvernd Dalvíkurbyggð um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á því hvort sveitarfélagið hefði tryggt viðeigandi öryggi við vinnslu persónuupplýsinga á þeim tíma sem öryggisbresturinn varð, í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679. Af þessu tilefni var Dalvíkurbyggð veitt færi á að koma á framfæri frekari skýringum varðandi þær tæknilegu og skipulagslegu öryggisráðstafanir sem voru viðhafðar á þeim tíma sem umræddur öryggisbrestur átti sér stað. Að auki óskaði Persónuvernd staðfestingu á umfangi öryggisbrestsins og upplýsinga um hvort sveitarfélagið hefði náð að endurheimta aðgang að öllum gögnum. Svar Dalvíkurbyggðar barst með tölvupósti 23. ágúst s.á.

4. Ákvörðun um að hefja frumkvæðisathugun var reist á 3. mgr. 39. gr. laga nr. 90/2018, þar sem mælt er fyrir um það hlutverk Persónuverndar að hafa eftirlit með framkvæmd löggjafar um vinnslu persónuupplýsinga og að stofnunin geti fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði. Við ákvörðunina var litið til þess að öryggisbresturinn varðaði breiðan hóp fólks, eðlis þeirra upplýsinga sem voru undir og hversu mikla áhættu öryggisbresturinn gat haft í för með sér fyrir persónuvernd hinna skráðu, sbr. 2. mgr. 30. gr. núgildandi reglna nr. 1150/2023 um málsmeðferð Persónuverndar, sbr. jafnframt 31. gr. reglna nr. 1246/2021 um málsmeðferð Persónuverndar sem voru í gildi þegar öryggisbresturinn varð.

5. Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þótt ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í eftirfarandi ákvörðun.

Álitaefni

6. Frumkvæðisathugunin lýtur að því hvort Dalvíkurbyggð hafi tryggt viðeigandi öryggi við vinnslu persónuupplýsinga í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679, þegar öryggisbrestur varð í tölvukerfi sveitarfélagsins hinn 14. maí 2023.

Atvik máls og fyrirliggjandi gögn

Öryggisbrestur – eðli og umfang

7. Samkvæmt tilkynningu Dalvíkurbyggðar um öryggisbrest, frá 15. maí 2023, tókst utanaðkomandi aðilum að brjótast inn fyrir varnir tölvukerfis sveitarfélagsins 14. s.m. Greint var frá því að árásaraðilar hefðu dulkóðað öll gögn á netþjónum sveitarfélagsins og gögnin hefðu því ekki verið aðgengileg starfsfólki. Sveitarfélaginu hefði borist tilkynning frá þeim sem stóðu að baki árásinni þar sem krafist var lausnargjalds. Með tölvupósti 23. júní s.á. upplýsti Dalvíkurbyggð Persónuvernd enn fremur um að gögn frá tónlistarskóla sveitarfélagsins hefðu verið birt á djúpvefnum hinn 22 s.m. Dalvíkurbyggð tilkynnti foreldrum nemenda tónlistarskólans um birtingu gagnanna. Að auki var birt tilkynning um öryggisbrestinn á vefsíðu sveitarfélagsins.

8. Dalvíkurbyggð leitaði ráðgjafar Netkerfa og tölva og Secure IT í kjölfar öryggisbrestsins. Í minnisblaði Netkerfa og tölva frá 24. ágúst 2023 er rakin atburðarrás í aðdraganda brestsins. Þar segir að tilkynningar hafi borist frá vírusvarnarkerfi Dalvíkurbyggðar sem gáfu til kynna að vírus væri kominn í hluta af vélum sveitarfélagsins. Kerfisstjóri hafi séð ummerki um hið sama á netþjónum. Við nánari athugun hafi komið í ljós að gögn í umhverfinu væru dulkóðuð og kerfisstjóri hafi þá aftengt internet frá netkerfi sveitarfélagsins. Í atvikaskýrslu Secure IT frá 5. september s.á. segir enn fremur að vírusvarnir hafi sent tilkynningar til kerfisstjóra um gagnagíslatökubúnað í umhverfinu, bæði á útstöðvum og netþjónum. Að auki hafi fundist kröfur um greiðslur frá aðilum er stóðu að baki árásinni og yfirlýsing þess efnis að gögn úr árásinni yrðu ella birt. Í samráði við CERT-IS og lögreglu hafi Dalvíkurbyggð tekið ákvörðun um að árásaraðilunum yrði ekki greitt. Hinn 22. júní hafi CERT-IS tilkynnt Dalvíkurbyggð um að gögn hefðu verið birt á djúpvefnum með aðgengi í gegnum TOR. Secure IT hafi sótt gögnin og yfirfarið þau. Þá segir að Secure IT telji mjög líklegt að árásin hafi verið vefveiðiárás þar sem starfsmenn hafi keyrt upp gagnagíslatökubúnað án þess að átta sig á því. Í skýringum Dalvíkurbyggðar kemur einnig fram að sveitarfélagið telji að um vefveiðiárás hafi verið að ræða.

9. Hvað umfang öryggisbrestsins varðar segir í skýringum Dalvíkurbyggðar að netárásin hafi haft áhrif á málakerfi, gagnaþjóna og myndþjón sveitarfélagsins. Aðgangur að tölvukerfi sveitarfélagsins hafi legið niðri um tíma þar sem netþjónar sem sjái um innskráningu, auðkenningu og stjórn umferðar lágu niðri. Að auki hafi árásaraðilar náð tökum á talsverðu magni gagna frá tónlistarskóla sveitarfélagsins en hluti þeirra hafi síðar verið birtur á djúpvefnum. Þau gögn sem um ræðir eru ráðningarsamningar, umsagnir um nemendur (um námsframvindu þeirra o.þ.h.), myndir og myndbönd af nemendum á nemendatónleikum, auk upplýsinga og auglýsinga um starf skólans.

10. Fyrir liggur að Dalvíkurbyggð náði að endurheimta aðgang að gögnum sem voru dulkóðuð á netþjónum sveitarfélagsins sem og gögnum frá tónlistarskólanum sem tekin voru úr tölvukerfi sveitarfélagsins.

Atvikaskýrsla Secure IT

11. Atvikaskýrsla Secure IT frá 5. september 2023, sem unnin var að beiðni Dalvíkurbyggðar, lýsir meðal annars þeim tæknilegu öryggisráðstöfunum sem voru viðhafðar af hálfu sveitarfélagsins þegar netárásin átti sér stað.

12. Í þeim kafla skýrslunnar sem ber titilinn Staðan í upphafi verkefnis kemur fram að Cisco netbúnaður hafi verið notaður til að vernda tölvukerfi sveitarfélagsins frá internetinu og til að aðskilja umhverfið fyrir innri og ytri þjónustur. Ekki hafi þó verið til staðar nægilegur aðskilnaður milli ólíkra vinnustaða í sveitarfélaginu þar sem þjónustur hafi verið samnýttar og samskipti hafi verið á milli netanna. Vírusvarnir hafi verið til staðar í umhverfinu sem tilkynntu um möguleg öryggisatvik og eftirlit með tilkynningum. Hins vegar hafi skort á svonefnda uppsöfnun öryggisviðburða úr mikilvægum innviðum með reglulegum yfirferðum á mögulegum frávikum. Ekki hafi verið unnt að rekja hvaðan árásin átti sér stað þar sem öryggisviðburðir voru ekki til í umhverfinu og áherslan lögð á að bregðast við. Að auki hafi skort á margþátta auðkenningu gagnvart ytra umhverfi sem og gagnvart „administrative“ kerfum og þjónustum. Hins vegar hafi fáir notendur haft æðri réttindi og ekki fundist lekagögn gagnvart þeim aðilum. Þá segir að netþjónar í umhverfinu hafi ekki haft öryggisplástra né stuðning fyrir þeim. Netþjónar og vinnustöðvar hafi verið sýktar af gagnagíslatökubúnaði og gögn víða óaðgengileg. Óljóst sé hversu víðtækt það hafi verið og hvort árásaraðilar hafi haft aðgang að tæknilegum innviðum, að gögnum eða einhvers konar fótfestu í umhverfinu.

Reglubók Dalvíkurbyggðar

13. Með skýringum Dalvíkurbyggðar fylgdu ýmsar verklagsreglur og innri reglur sem lýsa skipulagslegum öryggisráðstöfunum, þ. á m. reglubók sveitarfélagsins sem inniheldur öryggis- og verklagsreglur fyrir upplýsinga- og skráningarkerfi þess.

14. Fjallað er um áhættumat í 4. kafla reglubókarinnar. Þar segir að Dalvíkurbyggð skuli framkvæma áhættumat og að niðurstöður þess skuli notaðar til að styrkja varnir sveitarfélagsins. Í viðauka reglubókarinnar er að finna nánari útfærslu reglna hennar, en þar kemur fram að áhættumat skuli endurmetið á tveggja ára fresti og í hvert sinn sem verulegar breytingar verða á þjónustu, starfsemi, innviðum eða starfsliði sveitarfélagsins, öryggiskröfum og áhættuatriðum (4.1.1.6). Með svörum sveitarfélagsins fylgdu einnig verklagsreglur um áhættumat, sem lýsa framkvæmd áhættumats, sem og hluti af áhættumati Dalvíkurbyggðar er snýr að tiltækileika. Í áhættumatinu, sem er ódagsett, er tilgreindur áhættuþátturinn „trúnaðarbrestur óviðkomandi“ sem varðar aðgang að gögnum, þ.m.t. tölvupósti, gögnum á einkasvæði, gögnum á sameign, GAFL, Vinnustund, IGSS og Onesystems. Líkur á þeirri áhættu eru taldar litlar eða engar (gildi 1) og áhrif hennar ýmist lítil eða meðal (gildi 1-2). Í verklagsreglum um áhættumat er að finna nánari lýsingu þessum gildum. Þar segir að lítil eða engin áhætta (gildi 1) feli í sér minniháttar áhættu fyrir einstaklinginn. Sveitarfélagið geti gripið til almennra aðgerða sem kosta lítið til að draga úr áhrifum og nægir að minna notendur á að gæta varúðar. Þá segir að meðal áhætta (gildi 2) feli í sér hóflega áhættu sem hafi neikvæð áhrif á einstaklinginn. Sveitarfélagið geti gripið til sértækra aðgerða sem hafi kostnað í för með sér. Tekið er fram að meðal áhætta krefjist þess að persónuverndarfulltrúi sveitarfélagsins sé upplýstur um atvik og að tölvuinnbrot þurfi að rannsaka með hjálp umsjónarmanns kerfis.

15. Í 12. kafla reglubókar Dalvíkurbyggðar er fjallað um rekstraröryggi upplýsingakerfa. Þar segir meðal annars að tryggja skuli að upplýsingar og upplýsingakerfi séu vernduð gegn spilliforritum (12.2). Í viðauka reglubókarinnar kemur fram að brýnt skuli reglulega fyrir notendum að grunsamlegur tölvupóstur skuli ekki opnaður nema í samráði við umsjónarmann upplýsingaöryggis og/eða kerfisstjóra og að veiruleita skuli alla miðla af vafasömum uppruna og skrár sem berast af ytra neti áður en þær séu notaðar (T12.2.2). Með svörum sveitarfélagsins fylgdu tölvupóstsamskipti frá 25. febrúar 2016, 6. desember 2018, 30. september 2019 og 29. september 2020, þar sem starfsfólk sveitarfélagsins er varað við vafasömum tölvupósti. Í viðauka reglubókarinnar er einnig að finna lýsingu á viðbrögðum vegna spilliforrita (T12.2.1.7) en þar segir meðal annars að sé hætta veruleg og varnabúnaður veiti ekki fullnægjandi vörn, skuli rjúfa samband milli búnaðar sem ekki er sýktur og netkerfis, eða keyra búnað niður og ræsa ekki aftur fyrr en rekstrarumhverfi sé orðið öruggt.

16. Þá er fjallað um netöryggi í 13. kafla reglubókar Dalvíkurbyggðar og 13. kafla viðauka hennar. Í viðaukanum kemur fram að Dalvíkurbyggð skuli hafa eftirlit með tengingum um ytri netbúnað og koma upp viðeigandi vörnum til að verjast óleyfilegum aðgangi sem nýtir sér veikleika í búnaðinum (T13.1.2.1). Einnig segir að skilja skuli á milli innri og ytri netkerfa með viðeigandi uppsettum eldveggjum, skiptiboxum, beinum eða öðrum búnaði sem tryggi sambærilegt öryggi (T13.1.3.1).

Sjónarmið Dalvíkurbyggðar

17. Dalvíkurbyggð heldur því fram að sveitarfélagið hafi tryggt viðunandi öryggi persónuupplýsinga í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679. Er í því sambandi meðal annars vísað til skýrslu sérfræðinga Secure IT, sbr. umfjöllun í efnisgreinum 11-12. Dalvíkurbyggð telur skýrsluna sýna fram á að sveitarfélagið hafi verið með margskonar viðurkenndan búnað og lausnir til að verja sín kerfi t.a.m. vírusvarnir og virkt eftirlit með tilkynningum öryggisviðburða.

18. Dalvíkurbyggð vísar enn fremur til þess að unnið hafi verið að innleiðingu á nýjum eldvegg þegar umrædd netárás átti sér stað. Í því felist heildarendurskoðun á uppskiptingu og aðgengi milli netkerfa. Eldveggurinn skipti netinu niður í undirnet eftir stofnunum þannig að engar tvær stofnanir séu á sama ip-neti og takmarki umferð á milli stofnana og að netþjónum. Að auki hafi vinna við innleiðingu marglaga auðkenningar verið hafin þegar öryggisbresturinn varð, en þeirri vinnu hafi lokið í september 2023. Þá hafi Dalvíkurbyggð viðhaft ýmsar skipulagslegar ráðstafanir og er í því sambandi vísað til verklagsreglna sem fylgja með svörum sveitarfélagsins, sbr. umfjöllun í efnisgreinum 13-16. Rík áhersla sé lögð á að starfsfólk sýni fyllstu aðgát við meðferð persónuupplýsinga t.a.m. haldi sveitarfélagið reglulegar kynningar um netöryggismál fyrir starfsfólk.

19. Dalvíkurbyggð bendir á að engin viðmið séu tiltæk sem veiti leiðbeiningar um hvaða aðgerðir séu nægjanlegar og í samræmi við ákvæði persónuverndarlaga hvað varðar öryggi tölvukerfa. Líta þurfi til þess hvaða ráðstafanir megi með sanngirni ætlast til að aðilar viðhafi til að tryggja viðunandi öryggi. Að mati Dalvíkurbyggðar hafi ekkert komið fram sem styðji það að samhengi sé á milli netárásarinnar og þeirra ráðstafana sem sveitarfélagið viðhafði í því skyni að tryggja öryggi kerfa sinna. Vandséð sé hvað, ef eitthvað, hægt hefði verið að gera til að koma í veg fyrir árásina.

20. Þá bendir Dalvíkurbyggð jafnframt á að áhrif öryggisbrestsins fyrir sveitarfélagið hafi verið minni en óttast var í upphafi. Sveitarfélagið hafi náð að endurheimta aðgang að þeim gögnum sem voru dulkóðuð á netþjónum sveitarfélagsins. Gögn frá tónlistarskólanum, sem tekin voru úr kerfi sveitarfélagsins, hafi einnig verið endurheimt. Hluti þeirra gagna hafi verið birtur á djúpvefnum og var hinum skráðu tilkynnt um það.

21. Loks vísar Dalvíkurbyggð til þess að sveitarfélagið hafi ráðist í margháttaðar aðgerðir eftir að netárásin átti sér stað til þess að stuðla enn frekar að öryggi kerfa sveitarfélagsins. Ráðist hafi verið í þær aðgerðir í samráði við sérfræðinga til þess að reyna eftir fremsta megni að koma í veg fyrir að viðlíka árás geti endurtekið sig. Ljóst sé að mikil fjölgun netárása undanfarin misseri kalli almennt á frekari aðgerðir hjá öllum þeim aðilum sem vinna með persónuupplýsingar.

Forsendur og niðurstaða

Lagaumhverfi

22. Mál þetta lýtur að vinnslu persónuupplýsinga í tölvukerfi Dalvíkurbyggðar sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.

23. Dalvíkurbyggð telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

24. Öll vinnsla persónuupplýsinga verður að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt 6. tölul. lagaákvæðisins og f-lið ákvæðis reglugerðarinnar skulu persónuupplýsingar unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur laganna og skal geta sýnt fram á það, sbr. 2. mgr. ákvæðanna.

25. Í 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laganna, er fjallað nánar um öryggi persónuupplýsinga. Samkvæmt 1. mgr. reglugerðarákvæðisins skal ábyrgðaraðili með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna. Eftir því sem við á geta þessar ráðstafanir falist í notkun gerviauðkenna og dulkóðun persónuupplýsinga (a-liður), því að geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og -þjónustu (b-liður), geta gert persónuupplýsingar tiltækar og endurheimt aðgang að þeim tímanlega ef til efnislegs eða tæknilegs atviks kemur (c-liður) og taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar (d-liður). Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi, sbr. 2. mgr. reglugerðarákvæðisins.

26. Mat á því hvaða öryggisráðstafanir eru viðeigandi samkvæmt framangreindum ákvæðum er tvíþætt, sbr. til hliðsjónar efnisgrein 42 í dómi Evrópudómstólsins frá 13. desember 2023 í máli nr. C-340/21 (Natsionalna agentsia za prihodite). Í fyrsta lagi þarf að meta hættu á að brestur á öryggi verði við vinnslu persónuupplýsinga og mögulegar afleiðingar þess fyrir réttindi og frelsi hinna skráðu. Í öðru lagi þarf ábyrgðaraðili að ganga úr skugga um að þær ráðstafanir sem innleiddar eru séu í samræmi við mat á áhættu, að teknu tilliti til þeirra viðmiða sem um getur í 1. mgr. 24. gr. og 1. mgr. 32. gr. reglugerðarinnar, þ.e. með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, sem og nýjustu tækni og kostnaði við framkvæmd.

27. Fjallað er um mat á áhættu í reglum nr. 299/2001, um öryggi persónuupplýsinga, sem Persónuvernd setti með stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Reglurnar gilda þó eftir því sem við á, þrátt fyrir gildistöku laga nr. 90/2018, sbr. ákvæði II til bráðabirgða í þeim lögum. Í samræmi við 1. mgr. 3. gr. reglnanna ber ábyrgðaraðila að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga og er skriflegt áhættumat liður í því, sbr. 2. tölul. ákvæðisins. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Tilgreina skuli í áhættumati hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Enn fremur segir að markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum og að slíkt mat skuli endurskoða reglulega.

Niðurstaða

28. Dalvíkurbyggð ber að tryggja viðeigandi upplýsingaöryggi í tölvukerfi sveitarfélagsins sem ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem þar fer fram. Tekur sú krafa meðal annars til þess að sveitarfélagið geri viðeigandi ráðstafanir sem miða að því að varna gegn óheimilum aðgangi að persónuupplýsingum.

29. Þegar viðunandi öryggi er metið skal hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, sbr. umfjöllun um áhættumat efnisgreinum 26-27 hér að framan. Líkt og fram kemur í efnisgrein 14 er hætta á aðgangi óviðkomandi að gögnum í tölvukerfi Dalvíkurbyggðar talin lítil eða engin og áhrif þeirrar hættu lítil eða miðlungs í áhættumati sveitarfélagsins.

30. Netárásir, eins og sú sem mál þetta er risið af, eru ekki óalgengar. Þá er ljóst af gögnum málsins að öryggisbresturinn tók til málakerfis, gagnaþjóna og myndþjóns sveitarfélagsins og af því verður ráðið að um umtalsvert magn persónuupplýsinga af mismunandi eðli hafi verið að ræða. Með hliðsjón af þessu telur Persónuvernd að framangreindur áhættuþáttur hafi verið vanmetinn í áhættumati sveitarfélagsins, bæði líkindi hans, svo og hugsanleg áhrif á hina skráðu.

31. Þá skorti jafnframt á að Dalvíkurbyggð tilgreindi í áhættumatinu hvaða öryggisráðstafanir voru gerðar til þess að mæta þessum áhættuþætti. Þótt ljóst sé af gögnum málsins að Dalvíkurbyggð hafi gripið til ýmissa ráðstafana í því skyni að stuðla að upplýsingaöryggi í tölvukerfi sveitarfélagsins, sbr. umfjöllun í efnisgreinum 12-16, verður ekki af þeim ráðið hvaða öryggisráðstafanir voru gerðar sem miðuðu sérstaklega að því að varna gegn óheimilum aðgangi að persónuupplýsingum.

32. Skýrsla Secure IT ber enn fremur með sér að tilteknir veikleikar hafi verið á öryggi persónuupplýsinga í tölvukerfi Dalvíkurbyggðar. Nánar tiltekið hafi nethögun ekki verið viðunandi þar sem uppskipting neta hafi ekki verið nægileg, skort hafi á uppsöfnun öryggisviðburða úr mikilvægum innviðum með reglulegum yfirferðum á mögulegum frávikum, vantað hafi öryggisplástra á netþjóna í umhverfinu og skort á margþátta auðkenningu. Telur Persónuvernd að framangreindir veikleikar kunni að hafi átt þátt í því hversu víðtækur öryggisbresturinn varð.

33. Að öllu framangreindu virtu telur Persónuvernd að Dalvíkurbyggð hafi ekki sýnt fram á að hafa tryggt viðunandi öryggi persónuupplýsinga í tölvukerfi sveitarfélagsins, sbr. 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, þegar umræddur öryggisbrestur varð.

Fyrirmæli

34. Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir Dalvíkurbyggð að endurmeta áhættu á aðgangi óviðkomandi að persónuupplýsingum í tölvukerfi sveitarfélagsins. Skal sveitarfélagið jafnframt gera viðeigandi skipulagslegar og tæknilegar ráðstafanir til að mæta þeim áhættuþætti í samræmi við 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar. Loks skal sveitarfélagið tilgreina þær ráðstafanir í áhættumati sínu í samhengi við áhættuþáttinn.

35. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 21. apríl næstkomandi.

Ákvörðun um beitingu valdheimilda

36. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar, þ.m.t. brot gegn f-lið 1. mgr. 5. gr. og 32. gr. reglugerðarinnar.

37. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Meðal þeirra atriða sem líta ber til er hvers eðlis, hversu alvarlegt og langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar og fjölda skráðra einstaklinga og hversu alvarlegu tjóni þeir urðu fyrir (1. tölul). Þegar virt eru heildstætt þau sjónarmið sem tilgreind eru í tilvísuðu ákvæði og málsatvikum öllum, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Dalvíkurbyggð. Er í þessu sambandi einkum litið til þeirra öryggisráðstafana sem sveitarfélagið hafði innleitt þegar bresturinn varð, hafið innleiðingu á og innleitt undir rannsókn málsins. Rétt þykir þó að veita sveitarfélaginu áminningu vegna brotanna, sbr. 2. tölul. 1. mgr. 42. gr. laga nr. 90/2018 og b-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679.

Á k v ö r ð u n a r o r ð:

Dalvíkurbyggð tryggði ekki viðunandi öryggi persónuupplýsinga í tölvukerfi sveitarfélagsins í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 1. mgr. 32. gr. reglugerðar (ESB) 2016/679.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679 er lagt fyrir Dalvíkurbyggð að endurmeta hættu á óheimilum aðgangi að persónuupplýsingum í tölvukerfi sveitarfélagsins og gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að mæta þeim áhættuþætti í samræmi við 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar og tilgreina þær ráðstafanir í áhættumati.

Dalvíkurbyggð er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018.

Persónuvernd, 13. mars 2025

Bjarni Freyr Rúnarsson Harpa Halldórsdóttir