Tiltale for misbrug af stilling og for uberettiget at have skaffet sig adgang til personfølsomme oplysninger under sit arbejde som kommunalt ansat socialrådgiver

Retten i Lyngby

Den 22. oktober 2024 kl. 09.15 blev retten sat af Dommer.

Retsmødet var offentligt.

Rettens nr. 1-712/2024

Politiets nr. 0900-70585-00011-23

Anklagemyndigheden

mod

Tiltalte

CPR nr. (Født 1998)

Under hovedforhandlingen den 24. september 2024 er afgivet følgende for-klaringer:

Tiltalte har forklaret, at han blev færdiguddannet som socialrådgiver den 1. juni 2022 og herefter ansat som socialrådgiver i Kommune. Hans arbejdsopgaver bestod blandt andet i sagsbehandling i systemet SAPA. Han fik en kort introduktion af SAPA-systemet, men han husker ikke, hvornår han begyndte at arbejde i det. Der var oplæring i arbejdet fra en kollega, men ikke i forhold til de systemer, de arbejdede i. Han blev ikke af arbejdsgiveren oplyst om, at han ikke måtte lave opslag på personer i systemet. Der var ingen fra ledelsen, der sagde det til ham, og han blev

hellerikke på anden måde oplyst om det. Som led i

socialrådgiveruddannelsen lærte han om, hvordan man måtte og skulle behandle personlige oplysninger, men det var ikke så konkret. De mange søgninger, han foretog, skyldtes kedsomhed. Han husker ikke de navne, han indtastede, og han mener ikke, at der var en sammenhæng i navnene. Han blev fanget af, at man bare kunne klikke videre i systemet ind på de forskellige navne. Når man slog en person op, kunne man klikke videre på personer, fx forældre. Han ved godt i dag, at det var en fejl.

Kort tid før ledelsen gjorde ham opmærksom på, at han havde gjort noget forkert, havde han overhørt nogle kollegaer tale om, at man ikke måtte søge i systemet. Han spurgte ikke kollegaerne ind til snakken, men undersøgte det selv. Han var på vej ind til sin leder Vidne 1 for at fortælle hende, at han havde søgt. Han syntes, det var svært. Han havde ikke mod til at sige det. Han var flov over, at han ikke vidste, at man ikke måtte.

Han havde ikke downloadet eller delt nogle af oplysninger med nogen. Han husker ikke, hvornår han begyndte at foretage søgningerne, men det kan godt passe, at det var i det tidsrum, der fremgår af tiltalen. De oplysninger, han søgte frem i SAPA systemet, var fx et efternavn.  Der kom nogle

resultater op, han kunne klikke på, og så kom man ind på en bestemt person, hvor man så kunne klikke videre og se forskellige familiemedlemmer og adresser. Han husker ikke præcist, hvilke oplysninger, man kunne søge frem. Han havde adgang til SAPA-systemet på sin arbejdscomputer. Den arbejdscomputer, han havde fået, virkede ikke optimalt, og han brugte derfor sin egen private computer til at tilgå SAPA-systemet, når han arbejdede hjemme. Han kunne tilgå systemet via en browser. Tiltalte husker ikke, om han var begyndt på eller havde færdiggjort et online kursus i GDPR i den periode, hvor han var ansat i Kommune.

Adspurgt af forsvareren forklarede tiltalte, at han ikke fik nogen egentlig instruktion i brugen eller begrænsninger i brugen af SAPA-systemet, da han blev ansat. Hans leder havde ikke fortalt ham, hvordan han skulle bruge det. Han fik hjælp af sine kollegaer, hvis han havde spørgsmål til konkrete sager, men ikke i forhold til brugen af SAPA-systemet. Han huskede ikke navnene på alle i det team, han arbejdede i. Der var en, der hed Vidne 4, og en der hed Vidne 5. De sad omkring 15 mennesker sammen i et storrumskontor. De sad 4 sammen i en gruppe, men man kunne spørge om hjælp i hele teamet.

Den computer, han arbejdede med hjemmefra, var fra studietiden. Computeren på arbejdspladsen bestod af en lille kasse og to skærme. Han ved ikke, hvor de søgninger, han lavede, blev gemt. Når han tastede ind på sin bærbare computer derhjemme, havde han adgang til de samme oplysninger, som han havde adgang til på arbejdspladsen. De oplysninger, han søgte frem, lå ikke på hans private computer. Han har aldrig hørt om en computer kaldet en ”tynd klient” .

På første arbejdsdag i Kommune fik han adgangskoder til computeren. Computerens systemer var allerede sat op til ham. Han skulle logge ind med brugernavn og adgangskode.

Han blev afhørt af politiet på Gentofte politigård. Politiet havde foretaget en ransagning i hans hjem i By 2, hvor han boede sammen med sin familie, inden afhøringen. Politiet tog både hans og de øvrige familiemedlemmers computere, telefoner, usb stik mv med til undersøgelse. Han blev fyret og bortvist fra arbejdspladsen på grund af den her sag. Vidne 1 har som vidne forklaret, at hun er leder af Afdeling i Kommune, og at hun var leder for tiltalte, da han blev ansat den 1. juni 2022. Hun var i perioder hans daglige leder, og hun så ham hver dag på arbejdet. Hun havde indtrykket af, at tiltalte passede sit arbejde og var en vellidt medarbejder. I august måned sidste år blev hun opmærksom på tiltaltes problematiske søgeadfærd. Hun

fik tilsendt en mail fra deres IT-afdeling, som skrev, at de havde konstateret en bekymrende adfærd i datasøgninger fra tiltaltes computer. Hun blev bedt om at undersøge, om tiltaltes søgninger var arbejdsrelaterede. De første 15 søgninger, hun undersøgte, var ikke arbejdsrelaterede. Det var navneopslag i SAPA-systemet, hun undersøgte.

SAPA-systemet bruges til at fremsøge navne, cpr. numre og adresser. Man kan via SAPA-systemet fremsøge oplysninger på en borger, fx se familiemedlemmer, stamtræ, og om borgeren har aktive sager i det offentlige. Man kan ikke kigge ned i de aktive sager, og man kan derfor ikke se, hvad sagerne nærmere handler om.

Vidnet forklarede, at kommunen på et tidspunkt var overgået til et andet system, hvor medarbejdernes søgninger blev registreret. Det var derfor, de blev opmærksomme på tiltaltes søgninger. Hun ved ikke hvor længe, de havde overvåget søgninger på den måde. De sammenlignede tiltaltes søgninger med andre medarbejderes søgninger i samme periode. Nogle medarbejdere, som arbejdede i fronten, kunne have slået 100 cpr. numre op, og medarbejdere i baglandet havde i perioden 20 søgninger.

Det var 46 ud af tiltaltes i alt 1.933 søgninger, der var arbejdsrelaterede. Opslagene vedrørte personer i hele landet, og stort set alle søgningerne vedrørte personer med anden etnisk baggrund, størstedelen med tyrkisk klingende navne.

Udover SAPA-systemet brugte de også et system ved navn DUBU. Det var et fagsystem for børn og unge sager, hvor de kunne slå de konkrete sager op, og hvor de skrev journalnotater. Det var mere et sagsbehandlingssystem. Hun tog en tjenstlig samtale med tiltalte, hvor hun oplyste ham om deres undersøgelser og derefter sendte ham hjem. Nogle dage efter indkaldte hun ham til endnu en samtale, og han blev bortvist.

Vidnet forklarede, at alle medarbejdere, som var ansat i Kommune, havde fået tilsendt en mail fra IT-afdelingen ved deres ansættelse med et link til kurser i GDPR, cybersikkerhed og god forvaltningsskik. Hun kunne efterfølgende se, at tiltalte ikke havde gennemført kurset i GDPR. Tiltalte havde gennemført de to andre kurser.

Det er en grundlæggende del af deres almindelige arbejde, at de kun indhenter de oplysninger, de skal bruge, til at træffe afgørelserne i sagerne. Det er også en del af socialrådgiveruddannelsen, at man bliver uddannet i GDPR og tavshedspligt. Hun betragter det som almen viden for personer ansat i den type job, som tiltalte var ansat i. Hun forventede, at tiltalte kendte til GDPR, da han blev ansat som socialrådgiver. Efter den her sag, har de i kommunen iværksat yderligere tiltag for at sikre, at alle ansatte ved,

hvad de må.

Adspurgt af forsvareren har vidnet forklaret, at hun og tiltalte har samme uddannelsesmæssige baggrund. Hun er socialformidler, og han er socialrådgiver. Der var omkring 30 medarbejdere ansat i hendes afdeling i perioden. Den daglige leder, som refererede til hende, var ansvarlig for de 20 af medarbejderne. Fordelingen af arbejdsopgaverne stod den daglige leder for. De ansatte havde forskellige distrikter, og arbejdsopgaverne blev fordelt i forhold til disse. Hun tager som udgangspunkt ikke selv imod nye ansatte. Hun giver dem heller ikke login oplysninger eller forklarer dem om it-programmer og systemer mv. De nye ansatte får en mentor, som står for den del. Der er også en superbruger på DUBU-systemet, som sætter de ansatte ind i brugen af det. På deres intranet ligger en instruktion i brug af systemerne. Der er ikke en personalehåndbog eller en egentlig skriftlig instruks i forhold til brugen af systemerne.

Når man bliver ansat, får man en mail tilsendt med links til e-learning, som skal gennemgås ved ansættelsen. Det var den daglige leder Person 1, som skulle følge op på, om de ansatte fik gennemgået det, de skulle. Tiltalte sad i et storrumskontor i en bordopstilling, hvor de sad fire og fire. De havde hver deres stationære computer. Tiltalte havde også en bærbar computer. Den bærbare computer fungerede ikke altid, og derfor kunne de ansatte også bruge deres egne private computere, når de arbejdede hjemmefra. Hvis man arbejdede hjemmefra på egen computer, loggede man sig ind i kommunens systemer via sin private computer. Hun ved ikke, om tiltalte brugte sin egen computer, når han arbejdede hjemmefra. Hun er ikke klar over sikkerheden bag det. En ”tynd klient” er harddisken til den stationære computer på arbejdspladsen.

Vidnet forklarede, at det er korrekt, at hun på et tidspunkt fik tilsendt en mail fra en Person 2 med et skærmbillede, som hun sendte videre til politiet. Af skærmbilledet kunne det vist ses, at tiltalte var gået i gang med e-learning kurset om GDPR men ikke havde færdiggjort det. Det var den daglige leders ansvar at følge op på og sikre, at kurserne blev gennemført. Vidnet fandt først senere ud af, hvad tiltalte havde søgt på. Hendes opfattelse var, at tiltalte havde søgt på navne og ikke cpr.nr. Hun modtog mailen om søgningerne en torsdag og fredag ringede hun til tiltalte, som arbejdede hjemme, og informerede ham om undersøgelserne og om, at hans enheder, computer mv, blev lukket ned. Tiltalte sagde ikke så meget i telefonen. Hun husker ikke hans reaktion på hendes opringning. Ugen efter indkaldte hun tiltalte til en tjenstlig samtale. Hun ved ikke, hvorfor søgningerne først blev registreret efter en periode på over seks måneder. SAPA-systemet er et meget simpelt system, som det ikke kræver nogen

særlig oplæring i. Hun ved ikke, hvor meget medarbejderne kan søge på hjemme via deres egen computer.

Adspurgt igen af anklageren forklarede vidnet, at medarbejderne løbende blev gjort bekendt med, at man ikke skulle tilgå de andre medarbejderes sager af nysgerrighed. Der skulle være et formål med det. Jævnligt blev der talt om, at man skulle huske at tage hensyn til GDPR-reglerne. På et tidspunkt havde de en ude på arbejdspladsen for at fortælle generelt om, hvordan man skulle forholde sig til GDPR-reglerne. Medarbejderne blev gjort bekendt med og fik formidlet GDPR-reglerne i forskellige sammenhænge, fx også jævnligt på intra. Det er efter vidnets opfattelse en selvfølgelighed, med den uddannelse tiltalte har, at man har en grundlæggende viden om GDPR reglerne.

Vidne 2 har som vidne forklaret, at han er ansat i Kommune i deres IT-afdeling. Hans ansvarsområde er blandt andet systemadministration på SAPA-systemet, som står for sags-og partssystemet, som kommunernes it-fællesskab Kombit står for. Alle kommuner bruger systemet. SAPA-systemet har ikke sine egne data men trækker data fra en masse forskellige fagsystemer, så man får et samlet overblik over sagerne. I Kommune har de brugt SAPA-systemet siden år 2022. Tiltalte loggede sig på SAPA-systemet første gang den 1. marts 2023.

Den 29. august 2023, kom der en løbende systemisk overvågning af medarbejderens søgemønstre i systemerne. Dette for at hjælpe kommunerne med at lave en ordentlig revisionslog over søgningerne til brug for at holde øje med, om nogen søgte for meget. Da han fik den første revisionslog for august måned, fik han 13 alarmer på 21 arbejdsdage på tiltaltes søgninger. Han tænkte noget var galt og sendte en mail til sin chef samme dag. Der kom også alarmer på andre ansatte, men der var ikke andre med et søgemønster som tiltaltes. Derfor udvidede de kontrollen til at kigge på, hvad tiltalte havde søgt på, fra han første gang loggede på systemet, og der kom flere alarmer helt tilbage fra han startede søgninger i marts 2023. Tiltalte havde lavet 1.933 målrettede personsøgninger i SAPA-systemet. De 1.933 søgninger var ikke nødvendigvis udtryk for, at der var søgt på 1.933 forskellige personer. Tiltalte kunne have foretaget indsnævrede søgninger på de samme navne, hvis resultaterne ved en første søgning på fx et efternavn viste for mange personer. De opgjorte 16.690 visninger kommer ved, at tiltalte har klikket videre i fx et familietræ og derved har fået vist rigtig mange personer og cpr.nr. Logningssystemet logger, uanset om man tilgår og laver søgningerne hjemme eller på computeren på arbejdspladsen. På arbejdspladsen havde tiltalte en ”tynd klient” . Systemerne logger alt man tilgår, uanset hvilken computer, man tilgår det på. Når man logger ind

hjemmefra, foretager computeren en fjernopkobling. En view-klient ligger i kommunens system, som foretager denne fjernopkobling.

Adspurgt af forsvareren forklarede vidnet, at tiltalte godt kunne arbejde på sin private computer, hvis der blev installeret en view-klient, da den skaber en sikker forbindelse til computeren, som står i kommunes serverrum. Man kunne logge på den view-klient alle steder fra. Der er ikke set spor på, at tiltalte har gemt noget på sin private computer fra sine søgninger. Vidnet forklarede, at alle medarbejdere skal tage et onlinekursus i GDPR. Han sender medarbejderne et link til det på en mail. Forevist skema i bilag G-4-1, side 3, forklarede han, at den anførte certificering viser, at tiltalte havde taget to af kurserne. GDPR-kurset kan han ikke ud fra skemaet sige, om tiltalte har gennemført.

Tiltalte havde primært søgt på navne. De 1.933 søgninger var antallet af konkrete søgninger, hvor et navn konkret var skrevet ind. Han kunne se et mønster i, at tiltalte havde skrevet nogle af navnene forkert. Tiltalte havde herefter tilrettet det og foretaget en ny søgning. Det er i så fald med som to søgninger i det samlede antal. SAPA-systemet blev taget i drift i år 2022. Tiltalte loggede på systemet første gang i marts 2023. Medarbejdernes adgang til systemet var defineret ud fra, hvilke arbejdsopgaver, de havde, og hver medarbejders adgang skulle godkendes.

I slutningen af august fik han en skabelon til brug for den automatiske logning af medarbejdernes søgninger. Han kan ikke svare på, hvorfor skabelonen først blev taget i brug i august 2023, når SAPA-systemet blev taget i brug i 2022. Han var opmærksom på sikkerheden fra starten, og havde indtil de fik skabelonen jævnligt udført stikprøvekontroller til it-revisionen.

Vidne 3 har som vidne forklaret, at han arbejdede i IT-teknisk afdeling i Nordsjællands politi. De understøttede efterforskerne i forskellige IT-tekniske spørgsmål. Han blev kontaktet af en efterforsker, som fortalte, at der var lavet en masse opslag i et søgesystem. Politiet havde modtaget en masse logfiler, som han modtog. Han foretog en undersøgelse baseret på nogle spørgsmål, som efterforskeren havde til ham, herunder i forhold til, hvor mange opslag, der var foretaget, om der var taget oplysninger ud, om man kunne dele brugeradgang til SAPA-systemet og lignende. Han havde konkluderet, at det ikke var muligt at dele en adgang til SAPA-systemet, og således være logget flere på med samme brugeradgang samtidigt. Han havde forsøgt at undersøge, om der var downloadet noget, fx på et usb stik. Han fik ikke nogen information om dette. Han kiggede på netværkstrafikken, hvor han kunne se, at der var blevet flyttet data over den interne netværksforbindelse, men han kunne ikke se hvilke, da den var krypteret.

Der var ikke blevet flyttet store mængder af data, og det kunne være helt legitime data, der blev flyttet.

Han bekræftede, at det primært var tyrkisk klingende navne, der var blevet søgt på. Han bekræftede, at han havde verificeret de 1.933 målrettede personsøgninger, og de i alt 16.690 visninger, i sine tekniske undersøgelser. Adspurgt af forsvareren forklarede vidnet, at han var med til at undersøge de andre effekter, som var blev beslaglagt hjemme hos tiltalte. Han var med ude på ransagningen og undersøgte den router, der blev sikret. Han fandt ikke noget særligt ved routeren. Han fandt ikke oplysninger om, at data var blevet delt med andre. Han er ikke tilknyttet NSK, og han har ikke lavet politirapporten i bilag I-2-1-1. Det var ikke hans opfattelse, at tiltalte havde videregivet oplysninger.

Vidne 4 har som vidne forklaret, at hun har været ansat i Kommune som Stilling siden 2017. Hun har en bachelor i offentlig administration. Hun var i den afdeling, som tiltalte var ansat i. Hun husker ikke, hvordan det foregik, da hun blev ansat. Hun fik tilsendt nogle kurser, som hun skulle tilgå online. Kurserne var omkring sikkerhed og GDPR. Hun husker ikke, om kurserne kom løbende. Det seneste kursus, hun havde taget, var efter tiltalte var blevet opsagt. Hun husker ikke, om hun fik et link til kurset, da hun blev ansat. Hun er ikke så tit på intranettet, så hun ved ikke, om der har været information om GDPR der.

Hun husker ikke, om hun var blevet gjort bekendt med sikkerhed og GDPR-reglerne før. Hun husker ikke, om det var en del af hendes uddannelse at lære om reglerne om personoplysninger. Hun ved ikke, om hun vil betragte det som almen viden for en socialrådgiver, at man kender til GDPR-reglerne, og at man ved, at man ikke må gå ind i sager, man ikke skal bruge. Det er måske almen viden, at man ikke bare må slå op i sager af nysgerrighed. Hun husker, at hun talte med kollegerne om, at man ikke må slå op af nysgerrighed i forbindelse med en sag i medierne med en sygeplejerske.

Adspurgt af forsvareren har hun forklaret, at hun sparrede med sine kollegaer om sagerne og sagsbehandlingen, også i perioden hvor tiltalte var ansat. Man kan godt bede en kollega slå en person op for en, hvis man fx er ude i byen og skal bruge oplysningerne, eller hvis ens egen computer er nede.

Adspurgt igen af anklageren forklarede vidnet, at det er meget forskelligt, hvor mange opslag og søgninger, hun har i løbet af en arbejdsdag. Vidne 5 har som vidne forklaret, at hun var ansat i

Kommune i 2 år, herunder samtidig med tiltalte i perioden marts til september 2023. Hun og tiltalte gik på studie sammen og havde skrevet deres bachelor sammen. Under uddannelsen til socialrådgiver blev hun gjort bekendt med GDPR-regler. Det var en del af uddannelsen, at man lærte, hvordan man behandler oplysninger, herunder hvad man må og ikke må. Da hun blev ansat i Kommune, var der en forventning om, at hun kendte til GDPR-reglerne. Der var også løbende webinarer om det, hvor de fik tilsendt links via mail. Det var kurser, som hun skulle tage online. Hun mener, at det blev tilsendt til alle medarbejderne, også i den periode, hvor tiltalte var ansat. Nogen medarbejdere udskød kurserne, og så kom der en leder og huskede dem på at tage dem. Hun brugte ikke intranettet og kendte ikke så meget til det det. Hun husker ikke, at der var nogle opslag ved printeren om GDPR-regler eller sikkerhed. De snakkede om GDPR på arbejdspladsen, fx i forhold til sagen i medierne med den 13-årige pige, der blev kidnappet, og hvor nogen fra sundhedsvæsenet havde været inde og kigge. Der talte de om, hvor dumme de medarbejdere var. I DUBU systemet kunne de tilgå børn i Kommune, som havde åbne sager. I SAPA-systemet kunne alle borgeres sager tilgås. Hun brugte mest SAPA-systemet til at finde ud af, hvor børnene gik i skole, eller for at finde ud af, hvordan familier hængte sammen, hvis det var relevant. Hun brugte SAPA en del til at finde oplysninger relateret til de sager, hun sad med. Hvis de fik en underretning, gik hun fx også ind og kiggede på, om der eventuelt var andre børn i familien i andre kommuner. Det kan godt passe, at hver medarbejder har foretaget omkring 46 opslag i perioden. Hun husker ikke, at hun har haft nogen samtaler med tiltalte om, hvad man måtte tilgå på arbejdspladsen.

Adspurgt af forsvareren har hun forklaret, at der ikke var nogen oplæring i at bruge SAPA-systemet. Der var en mentor ordning. Hun havde selv været mentor en del gange. Hun havde altid gjort meget ud af at fortælle nye ansatte, hvad man ikke måtte. Hun havde ikke fået at vide af sin chef, at hun skulle give instrukser om SAPA-systemet til de ny ansatte. Der havde været en mand på arbejdspladsen og fortælle om data, sikkerhedsbrud og GDPR-regler. Hun husker ikke, om det var, da tiltalte var ansat. SAPA-systemet havde været brugt lige siden hun blev ansat.

Hun husker ikke at have hjulpet tiltalte med at fremsøge oplysninger igennem SAPA-systemet, men det var meget normalt at slå op i det system. De brugte mest DUBU systemet, som var deres hovedsagsbehandlingssystem. Hun havde fået en introduktion til systemet DUBU. Person 3 som var superbruger, gav hende introduktionen på en times tid. Det var et overblik over, hvad systemet kan, og hvordan man skulle

bruge det. De fleste ansatte kendte lidt til systemet fra deres praktikperiode under uddannelsen, og så blev instruktionen tilpasset den enkelte.

Hun har arbejdet hjemmefra omkring 2 gange i den tid hun var ansat. Der var en bestemt måde man skulle logge ind på, når man arbejdede hjemmefra, så adgangen blev sikker. Det blev italesat, at det var vigtigt at tilgå systemet på et sikkert netværk. Hun havde tidligere været mentor for en, som havde

tilgået sigsystemet igennem Google Chrome. Dette netværk var ikke

sikkert, og der kom et større fokus på det derefter.

Sagen sluttet.

Retten hævet.

Dommer

Retten i Lyngby

D O M

afsagt den 24. september 2024

Rettens nr. 1-712/2024

Politiets nr. 0900-70585-00011-23

Anklagemyndigheden

mod

Tiltalte

CPR nr. (Født 1998)

Der har medvirket domsmænd ved behandlingen af denne sag.

Anklageskrift er modtaget den 15. marts 2024.

Tiltalte er tiltalt for overtrædelse af

Straffelovens § 155 og § 263, stk. 1, misbrug af stilling og uberettiget adgang til en andens data, samt overtrædelse af den af 25. maj 2018 databeskyttelsesforordnings artikel 6, stk. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 4, jf. stk. 3, jf. databeskyttelsesforordningens artikel 83, stk. 2 og stk. 5, litra a, jf. stk. 9,

ved i perioden fra den 1. marts 2023 til den 31. august 2023, på Kommune, Adresse, i By 1, som socialrådgiver

ved Kommune, at have misbrugt sin stilling i offentlig tjeneste og uberettiget skaffet sig adgang til en andens data, som er bestemt til at bruges i et datasystem, ved at krænke privates eller det offentliges ret, idet tiltalte uberettiget skaffede sig adgang til kommunens datasystem SAPA, i ikke under 1.933 målrettede personsøgninger, der resulterede i visning af 16.690 personer med dertilhørende personfølsomme data, såsom blandt andet cpr. numre og familieoplysninger, der ikke er opgjort i totalt antal, alt selvom de pågældende personer ikke indgik i de sager, som tiltalte behandlede som led i sit job som socialrådgiver.

Påstande

Anklagemyndigheden har nedlagt påstand om frihedsstraf.

Anklagemyndigheden har endvidere nedlagt påstand om tillægsbøde på 50.000 kr.

Tiltalte har nægtet sig skyldig.

Sagens oplysninger

Der er afgivet forklaring af Tiltalte og af vidnerne Vidne 1, Vidne 2, Vidne 3, Vidne 4 og Vidne 5.

Forklaringer er lydoptaget og gengives ikke i dommen.

Tiltalte er ikke tidligere straffet.

Kriminalforsorgen har oplyst bl.a.:

"Kriminalforsorgens konklusion:

Det er Kriminalforsorgens vurdering, at Tiltalte er egnet til at modtage en hel eller delvis betinget dom med vilkår om samfundstje-neste, hvortil det skal anbefales, at der fastsættes vilkår om tilsyn af Kriminalforsorgen i prøvetiden.

Det er Kriminalforsorgens vurdering, at Tiltalte er egnet til at modtage en betinget dom, hvortil det alene anbefales, at der fastsættes prøvetid.

Kriminalforsorgens begrundelse:

Kriminalforsorgen har ved vurderingen lagt vægt på, at Tiltalte har velordnede personlige og sociale forhold. Endelig er der lagt vægt på, at han er indstillet på at overholde tilsyn og samfundstjeneste. Det vurderes ikke, at Tiltalte har behov for kriminalpræventive samta-ler eller forsorgsmæssig støtte."

Rettens begrundelse og afgørelse

Det kan efter bevisførelsen lægges til grund, at tiltalte som ansat socialrådgi-ver ved Kommune, i perioden fra den 1. marts 2023 til den 31. august 2023 foretog 1.933 målrettede personsøgninger i kommunens da-tasystem SAPA, som han under sit arbejde havde adgang til, og at han via disse søgninger fik 16.690 visninger af personer med dertilhørende person-følsomme data, såsom blandt andet cpr.numre og familieoplysninger. Det kan endvidere lægges til grund, at 46 af disse søgninger var berettigede, idet de vedrørte personer i sager, som tiltalte arbejdede med. Herudover kan det efter forklaringer fra Vidne 4 og Vidne 5 læg-ges til grund, at enkelte yderligere søgninger kan have været berettigede, idet de kan være sket efter anmodning fra kollegaer til brug for deres sager. Det kan efter bevisførelsen - herunder efter tiltaltes egen forklaring herom - læg-ges til grund, at de resterende søgningerne ikke vedrørte personer, der indgik i de sager, som tiltalte behandlede som led i sit arbejde som socialrådgiver.

To voterende udtaler:

Det findes ikke med tilstrækkelig sikkerhed bevist, at tiltalte havde forsæt til ved søgningerne at misbruge sin stilling til at krænke nogens ret eller til ube-

rettiget at skaffe sig adgang til andres data. Der er ved vurderingen heraf lagt vægt på tiltaltes forklaring om, at han ikke vidste, at han ikke måtte søge og kigge i systemet på oplysningerne, at han alene gjorde det af kedsomhed, og at han, da det gik op for ham, at han ikke måtte, ville gå til ledelsen og for-tælle om det, hvilket han imidlertid ikke nåede. Der er endvidere lagt vægt på karakteren af de oplysninger, der kunne ses i systemet, og at der ikke er noget, der indikerer, at tiltalte brugte eller havde til hensigt at bruge oplys-ningerne til noget. Endelig er der lagt vægt på, at det efter de afgivne forkla-ringer ikke er godtgjort, at ledelsen i Kommune gjorde til-talte opmærksom på, hvad man måtte og kunne bruge SAPA systemet til.

Disse voterende stemmer derfor for at frifinde tiltalte.

Èn voterende udtaler:

Det kan efter Vidne 5 og Vidne 1's forklarin-ger lægges til grund, at undervisning i regler om behandling af personoplys-ninger var en del af tiltaltes uddannelse til socialrådgiver, og at det endvide-re er en grundlæggende og almen viden, når man arbejder som socialrådgi-ver i en kommune. Herefter, og henset til det meget store antal målrettede personsøgninger, som har været uberettigede i forhold til det arbejde, tiltalte varetog, findes tiltalte at have haft det fornødne forsæt.

Denne voterede stemmer derfor for at finde tiltalte skyldig i den rejste tiltale i det anførte omfang.

Der afsiges dom efter stemmeflertallet.

Thi kendes for ret:

Tiltalte frifindes.

Statskassen skal betale sagens omkostninger.

Dommer

Socialrådgiver frifundet for misbrug af stilling.

Dom afsagt: 24. september 2024

26-årig frifundet for misbrug af stilling og for uberettiget at have skaffet sig adgang til personfølsomme oplysninger under sit arbejde som kommunalt ansat socialrådgiver.

Sagsnummer: SS 1-712/2024

Sagen kort fortalt

Den 26-årige socialrådgiver var tiltalt for overtrædelse af straffelovens § 155 og § 263, stk. 1, samt databeskyttelsesforordningen, for at have misbrugt sin stilling som kommunalt ansat socialrådgiver til at krænke nogens ret og til uberettiget at have skaffet sig adgang til andres data, ved i perioden fra den 1. marts 2023 til den 31. august 2023 at have foretaget ikke under 1.933 målrettede personsøgninger i kommunens datasystem SAPA, der resulterede i visning af 16.690 personer med dertilhørende personfølsomme data, som fx cpr.nr. og familieoplysninger.

Den tiltalte erkendte at have foretaget et stort antal målrettede søgninger, der ikke havde relation til hans arbejde, men nægtede sig skyldig med henvisning til, at han ikke havde forsæt.

Dommens resultat

Retten fandt det bevist, at tiltalte i perioden havde fortaget 1.933 målrettede personsøgninger, og at han via disse søgninger fik 16.690 visninger af personer med dertilhørende personfølsomme data. Retten fandt det endvidere bevist, at størstedelen af disse søgninger ikke vedrørte personer, der indgik i de sager, den tiltalte behandlede i sit arbejde som socialrådgiver.

Flertallet af domsmandsrettens medlemmer fandt det ikke med tilstrækkelig sikkerhed bevist, at den tiltalte havde forsæt til ved søgningerne at misbruge sin stilling til at krænke nogens ret eller til uberettiget at skaffe sig adgang til andres data. Flertallet lagde blandt andet vægt på den tiltaltes forklaring om, at han ikke vidste, at han ikke måtte kigge i systemet, på oplysningernes karakter, og at han ikke brugte eller havde til hensigt at bruge oplysningerne til noget. Flertallet fandt det endvidere ikke godtgjort, at kommunen havde gjort tilstrækkelig opmærksom på, hvad man måtte og kunne bruge SAPA systemet til. Flertallet stemte derfor for at frifinde den tiltalte.

Ét af domsmandsrettens medlemmer lagde til grund, at undervisning i regler om behandling af personoplysninger var en del af tiltaltes uddannelse og almen viden i arbejdet som socialrådgiver, og fandt, henset til det meget store antal målrettede personsøgninger, som havde været uberettigede i forhold til det arbejde, den tiltalte varetog, at den tiltalte havde det til domfældelse fornødne forsæt og stemte derfor for at finde tiltalte skyldig.

Den tiltalte blev efter stemmeflertallet frifundet.

Dommen kan ankes af anklagemyndigheden inden for 14 dage fra dommens afsigelse.