Datatilsynet udtaler kritik af kommune for manglende implementering af passende sikkerhedsforanstaltninger

Ansatte ved kommunen fik adgang til personoplysninger

Det fremgår af sagen, at Kolding Kommune anvendte ESDH-systemet Acadre, hvori der blev opbevaret omkring 400.000 sager, herunder af kategorierne borgersager, familiesager, personalesager, ejendomssager, emnesager mv. De forskellige sagers dokumenter blev opbevaret på et tilhørende netværksdrev.

I forbindelse med en opgradering i 2012 foretog en af Kolding Kommunes leverandører en ændring i rettighedsstyringen. Denne ændring medførte, at det pågældende netværksdrev – og dermed den direkte adgang til sagernes dokumenter – blev åbnet for ca. 2.400 af kommunes ansatte. De ansatte havde adgang til personoplysningerne uden mulighed for logning af adgangen til netværksdrevet.

Kolding Kommune hævdede, at de ikke var bekendte med leverandørens ændring i rettighedsstyringen. Det var således ikke før en netværksscanning i september 2019, at kommunen kunne konstatere, at der var uautoriseret adgang til oplysningerne, som var opbevaret på netværksdrevet.

Kolding Kommune anmeldte det pågældende forhold som et brud på persondatasikkerheden til Datatilsynet. I den forbindelse oplyste kommunen, at det ikke var muligt at konstatere fejlen under daglig brug, da brugerne i forvejen havde adgang til dokumenterne gennem Acadre, og at der forud for scanningen den 17. september var blevet udført en intern scanning af netværket efter åbne fildrev.

Samtidig hermed oplyste Kolding Kommune, at det var deres opfattelse, at de løbende årlige revisionsberetninger tegnede et retvisende og generelt billede af kommunens generelle sikkerhedsniveau, idet økonomisystemerne var en integreret del af den samme infrastruktur, som understøttede Acadre.

Kritik fra Datatilsynet

Datatilsynet udtalte kritik af, at Kolding Kommune ikke havde gennemført tilstrækkelige adgangsbegrænsning af netværksdrevet, idet 2.400 medarbejdere havde adgang til personoplysningerne. De udtalte desuden kritik af, at kommunen ikke havde iværksat tilstrækkelige kontroller af de implementerede tekniske og organisatoriske foranstaltninger.

Særligt vedrørende de manglende kontroller udtalte Datatilsynet, at de årlige revisionsberetninger ikke var tilstrækkelig kontrol af kommunes generelle datasikkerhed, idet revisionerne kun omfattede revision af de it-kontroller og it-systemer af betydning for kommunens regnskabsføring og regnskabsaflæggelse. Revisionerne omfattede således ikke revision af de generelle tekniske og organisatoriske sikkerhedsforanstaltninger eller i øvrigt af procedurerne for regelmæssig afprøvning, vurdering og evaluering af disse foranstaltninger.

Alt dette var samlet set medvirkende til, at Datatilsynet udtalte alvorlig kritik af kommunen, idet Kolding Kommune anses for at have behandlet personoplysninger uden etableringen af et passende sikkerhedsniveau.

Har du spørgsmål til overholdelse af sikkerhedsforanstaltninger?

Har du spørgsmål eller brug for rådgivning i forbindelse med overholdelse af sikkerhedsforanstaltninger eller andre persondataretlige problemstillinger, er du altid velkommen til at kontakte os.