08 okt 2020

Manglende kontrol af IT-systemer førte til alvorlige brud på persondatasikkerheden

Datatilsynet har truffet afgørelse i tre nye sager om brud på persondatasikkerheden og har i den forbindelse udtalt henholdsvis kritik og alvorlig kritik samt meddelt påbud på grund af manglende elementære kontroller.

De manglende elementære kontroller medførte, at Datatilsynet i de 3 afgørelser kom frem til, at der enten havde været videregivet for mange oplysninger, eller at der havde været givet adgang til oplysninger om for mange borgere.

Pligt til kontrol af IT-systemer

De tre afgørelser, der omhandlede henholdsvis et sikkerhedsbrud i systemet FLIS, et sikkerhedshul i Schultz Expose og et sikkerhedsbrud hos Odense Kommune, havde det til fælles, at bruddene kunne have været undgået, hvis der var indført og udført elementære kontroller af IT-systemerne.

I en udtalelse vedrørende de tre afgørelser oplyser Datatilsynet, at IT-systemer regelmæssigt skal kontrolleres, således det sikres at systemerne

  • ikke videregiver flere oplysninger end nødvendigt,
  • ikke videregiver oplysninger til de forkerte modtagere, og
  • at adgangskontrollen på systemerne fungerer hensigtsmæssigt, herunder at brugere har adgang til de oplysninger, der er nødvendige.  

Datatilsynet henviser i øvrigt til, at kontrollerne skal udføres, inden systemet sættes i drift første gang, samt efter en ændring i systemet er foretaget, herunder f.eks. i forbindelse med en opdatering.

Det er blandt andet dette, som både Kombit, Shultz og Odense kommune er faldet på.

Alvorlig Kritik af Kombit

FLIS, der er et Fælleskommunalt Ledelsesinformationssystem, driftes af Kombit A/S og anvendes af størstedelen af landets kommuner. I perioden december 2018 til februar 2019 modtag Tilsynet en række anmeldelser vedrørende en fejl hos en af Kombits underdatabehandlere – Netcompany A/S.  

Fejlen bestod i, at de filtre, som var med til at begrænse de enkelte kommuners adgange til data om borgerne, blev undladt. Som følge af fejlen har det været muligt for udvalgte medarbejdere i kommunerne samt enkelte kommuners leverandører af Business Intelligence i en periode på 4 måneder at tilgå personnumre og beskæftigelsesrelaterede oplysninger om op mod 4,2 mio. borgere.

Datatilsynet har ved sin afgørelse lagt særlig vægt på, at Kombit ikke har udført de fornødne test i forbindelse med dataudtræk fra FLIS til at kunne opdage det fejlopsatte filter.

Kritik af J.H. Schultz Information A/S

Schultz Expose, der driftes af J. H. Shultz Information, har til formål af levere informationer til jobcentrene i kommunerne, der på den baggrund kan træffe beslutninger, der vedrører kommunens drift. I oktober 2019 modtog Datatilsynet en række anmeldelser vedrørende en fejl i Expose.

I forbindelse med en opdatering af systemet blev en sikkerhedskomponent midlertidig deaktiveret. Sikkerhedskomponenten var med til at sikre, at kun de relevante oplysninger var tilgængelige for brugere, som havde den nødvendige adgang. Den manglende sikkerhedskomponent medførte, at udvalgte medarbejdere i forskellige kommuner uretmæssigt kunne tilgå beskæftigelsesrelaterede oplysninger om ca. 1,5 mio. borgere fra andre kommuner.

Datatilsynet tillagde det særlig betydning, at Shultz ikke havde udarbejdet procedurer for at kontrollere systemet efter en opdatering, herunder at sikkerhedskomponenten blev genaktiveret efter endt opdatering, da dette var et velkendt problem.

Kritik af og påbud til Odense kommune

Odense Kommune anmeldte i maj 2020 et sikkerhedsbrud til Datatilsynet vedrørende brugen af et system, der blev sat i drift i maj 2019.

Bruddet vedrørte det forhold, at en person, f.eks. sundhedsfagligt personale, kunne udfylde en ansøgning eller et evalueringsskema på vegne af en borger. Ofte skete dette ved brug af personligt NemID (i stedet for en Medarbejder/Virksomheds NemID), hvilket betød, at borgeren fik en kvittering indeholdende navn, adresse og personnummer på den, der havde udfyldt ansøgningen/evalueringsskemaet. Datatilsynet kunne konstatere, at dette var sket i 51 tilfælde i en periode på 13 måneder.

Datatilsynet udtalte særligt kritik på baggrund af, at Odense kommune ikke allerede ved driften af systemet i maj 2019 havde iværksat de fornødne sikkerhedsforanstaltninger, herunder eksempelvis ved at sørge for, at det kun var borgerens personoplysninger, som fremgik af den fremsendte kvittering. Datatilsynet har tillagt det betydning, at kommunen havde indført sådanne foranstaltninger i starten af maj 2020 – altså inden anmeldelse.  

Udover at udtale kritik af kommunen, fandt Datatilsynet samtidig også grundlag for at meddele kommunen påbud. Påbuddet angik undersøgelse af, hvorvidt der uretmæssigt er videregivet oplysninger om registreredes beskyttede adresser. Såfremt kommunen kommer frem til, at dette er sket, skal kommunen underrette de berørte registrerede samt tage kontakt til modtagerne af oplysningerne med opfordring til, at oplysningerne slettes. Baggrunden for påbuddet er, at kommunen ved opdatering af anmeldelsen den 29. juni – altså 24 dage efter selve bruddet konstateres – endnu ikke havde taget stilling til, hvorvidt de berørte personer skulle underrettes om bruddet. Frist for efterlevelse af påbud var den 21. september.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til ovestående, eller hvordan I skal håndtere et IT-system rent persondatamæssigt, så er du velkommen til at kontakte en af vores advokater med speciale i persondata.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for en advokat med speciale i persondataret?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.

Se vores persondatapolitik her