Datatilsynet begrunder anmeldelsen med, at Kræftens Bekæmpelse ikke har levet op til kravene i Persondatadirektivet (GDPR) om passende sikkerhedsforanstaltninger.

Datatilsynets anmeldelse vedrører fire hændelser, hvor Kræftens Bekæmpelse konstaterede brud på persondatasikkerheden, og hvor foreningen selv anmeldte hændelserne til Datatilsynet. To sager vedrører fysisk tyveri af computere i oktober og december 2019. To sager omhandler såkaldte phishing-angreb fra datakriminelle i februar og maj 2020.

De fire tilfælde omhandler ikke læk af personfølsomme data, der er relateret til Kræftens Bekæmpelses indsamlingsaktiviteter, medlemsdatabase og forskningsaktiviteter. Der er heller ikke tale om oplysninger fra patienters sygejournaler fra hospitalet eller praktiserende læge.

De berørte personer blev i 2019 og 2020 orienteret om hændelserne af Kræftens Bekæmpelse. Kræftens Bekæmpelse har ikke viden om, at der er sket misbrug af dataoplysningerne.

Vi ser med stor alvor på anmeldelsen og beklager de databrud, der ligger til grund for den. Det skal understreges, at sikkerhedsbrudene er håndteret, og at de er af ældre dato.

Vi har siden databrudene i 2019 og 2020 gennemført en række organisatoriske sikkerhedsforanstaltninger i bestræbelserne på at leve op til GDPR. Det gælder for eksempel kryptering af computere og to-faktorsystemer ved log-in.  

Har I spørgsmål til ovenstående, er I velkomne til at kontakte Frivillig Indsats på frivillig@cancer.dk eller 35257503.

Kontaktes I af andre angående sagen, kan I henvise til Kræftens Bekæmpelses Kommunikationsafdeling.