Søg i alle vores afgørelser

Find flere relevante afgørelser i vores omfattende database med over 100.000 afgørelser.

Datatilsynet udtaler alvorlig kritik af Kombits behandling af personoplysninger i Aula-systemet

Dato

23. februar 2022

Eksterne links

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikAnmeldt brud på persondatasikkerhedenFølsomme oplysningerUautoriseret adgangBehandlingssikkerhed

I slutningen af 2019 og starten af 2020 anmeldte 30 kommuner et brud på persondatasikkerheden til Datatilsynet. Bruddet skyldtes en fejl i Aula, hvor en bruger potentielt kunne tilgå en anden brugers "sikre filer", der indeholdt følsomme personoplysninger, hvis den oprindelige bruger ikke var logget ud.

Parternes synspunkter

Gentofte Kommune: Kommunen fremhævede, at det var svært at fastslå omfanget af uautoriseret adgang, da det krævede, at brugere handlede i strid med retningslinjerne ved at overlade ulåste computere til andre. Kommunen oplyste, at ca. 1.500 medarbejdere potentielt kunne have haft adgang til hinandens sikre filer, og at bruddet berørte 7.684 elever.
Netcompany: Netcompany forklarede, at fejlen skyldtes en programmeringsfejl under udviklingen af en ændring til loginløsningen i Aula. De anførte, at de havde gennemført omfattende tests, men fejlen ikke var blevet opdaget. Netcompany argumenterede for, at de ikke agerede som databehandler i forbindelse med udviklingen af Aula, og at databruddet kun kunne opstå, hvis brugerne undlod at logge ud.
Kombit: Kombit anførte, at Netcompany var underdatabehandler, og at Kombit ikke havde specificeret, hvordan Netcompany skulle ændre Aulas kode for at opnå den ønskede nye funktionalitet. Kombit mente, at Netcompany var nærmest til at afgøre omfanget af nødvendige tests.

Datatilsynets undersøgelse

Datatilsynet har lagt til grund, at der er sket en uautoriseret adgang til personoplysninger, og at der derfor er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Datatilsynet udtalte alvorlig kritik af, at Kombits behandling af personoplysninger som databehandler ikke var sket i overensstemmelse med Databeskyttelsesforordningen § 32, stk. 1.

Begrundelse for afgørelsen:

Kombit havde ikke sikret tilstrækkelig test af Aula, herunder i UNI-loginløsningen, i forbindelse med kodeændringen.
En fejl i udviklingen af løsningen medførte manglende korrekt styring af adgangsrettigheder i Aula.
Netcompany og Kombit var uenige om, hvilke tests der skulle udføres, og om Netcompanys rolle som underdatabehandler, hvilket kunne føre til mangler i behandlingssikkerheden.

Læs også

Myndighedens it•4. oktober 2023

Høring

Nye krav til systemrevision og datasikkerhed for studieadministrative IT-systemer på uddannelsesinstitutioner

Denne bekendtgørelse fastsætter nye og opdaterede krav til de studieadministrative IT-systemer (SA-systemer), der anvendes på en bred vifte af danske uddannelsesinstitutioner, herunder erhvervsskoler, gymnasier, VUC, FGU og udbydere af arbejdsmarkedsuddannelser. Bekendtgørelsen træder i kraft den 1. januar 2024 og erstatter den hidtidige bekendtgørelse fra maj 2023.

Hovedformål og centrale krav

Bekendtgørelsens primære formål er at sikre, at SA-systemerne er stabile, sikre og i overensstemmelse med gældende lovgivning, især i forhold til korrekt datahåndtering, tilskudsberegning og databeskyttelse. De centrale krav er:

Obligatorisk Systemrevision: Institutioner må kun anvende SA-systemer, der er omfattet af en systemrevisionserklæring uden modifikationer. Denne erklæring skal udarbejdes af en statsautoriseret eller registreret revisor.
Internationale Standarder: Revisionen skal leve op til anerkendte standarder:
- ISAE 3402 (Type 2): Dokumenterer kontroller relateret til finansiel rapportering og tilskudsadministration.
- ISAE 3000 (Høj grad af sikkerhed): Dokumenterer, at behandlingen af personoplysninger overholder gældende databeskyttelsesregler (GDPR).
Offentliggørelse: Styrelsen for It og Læring (STIL) fører og offentliggør en liste over de SA-systemer, der opfylder kravene.

Væsentlige ændringer

I forhold til den tidligere bekendtgørelse er der foretaget flere justeringer, blandt andet på baggrund af høringssvar.

Område	Tidligere regel	Ny regel	Ikrafttrædelse
Frist for revisors underskrift	Senest 1 måned efter erklæringsperiodens afslutning	Senest 2 måneder efter erklæringsperiodens afslutning	1. januar 2024
Gyldighed af erklæring	2 år	2 år (uændret)	1. januar 2024

IT-Instruks og grænseflader

Bekendtgørelsens bilag 1, "It-instruks", indeholder en omfattende liste af specifikke kontrolmål og kontroller, som SA-systemerne skal overholde. Dette dækker alt fra regelovervågning, adgangsstyring og behandling af personoplysninger til change management og tekniske grænseflader mod en lang række centrale, statslige IT-systemer, herunder:

CØSA (Det Centrale Oplysnings- og Styringssystem for Afklaring)
Datavarehuset
Eksamensdatabasen
Optagelse.dk
Ungedatabasen
Lærepladsen.dk
Unilogin

Ikrafttrædelse og overgangsordning

Bekendtgørelsen træder i kraft den 1. januar 2024. Systemrevisionserklæringer, der er udarbejdet i henhold til de tidligere bekendtgørelser fra 2022 og 2023, bevarer deres gyldighed i 2 år fra datoen for revisors underskrift, hvilket sikrer en glidende overgang for både institutioner og systemleverandører.

Læs mere

Sø- og Handelsretten· 18. september 2020

Afgørelse

Forbudssag vedrørende vildledende markedsføring og videregivelse af kundeoplysninger i el-branchen

Sagen omhandler to sammenhængende sager anlagt af **BLUE ENERGY A/S** mod tre konkurrerende selskaber i energibranchen: ...

Læs mere

Andre relevante lovforslag

Forslag til Lov om Nemkonto

Digitaliseringsministeriet27. mar. 2025

Forslag til Lov om godkendelse og syn af køretøjer

Transportministeriet20. mar. 2025

Flere lignende afgørelser

Afvisning af midlertidigt forbud og påbud vedrørende brugerdata efter ophørt forsikringssamarbejde

Sø- og Handelsretten2. jun. 2023

Konsekvenser af offentliggørelse af ikke-obligatoriske personoplysninger i handelsregistret under GDPR og retten til sletning

EU-Domstolen3. okt. 2024

Søg i alle vores afgørelser