Lovguiden Logo

Command Palette

Search for a command to run...

Kritik for manglende overholdelse af egne retningslinjer for adgangskontrol i Allerød Kommune

Dato

30. november 2021

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederKritikTilsyn / egendriftssagAdgangskontrolBehandlingssikkerhedLogning

Lovreferencer

Databeskyttelsesloven § 502

Baggrund

Datatilsynet gennemførte i sommeren 2021 et skriftligt tilsyn med Allerød Kommune, specifikt rettet mod kommunens administration af adgangsrettigheder i socialforvaltningen. Tilsynet blev iværksat for at vurdere, om kommunen overholdt databeskyttelsesreglerne, herunder databeskyttelsesforordningens artikel 32. Datatilsynet anmodede om dokumentation for kommunens procedurer for logning og stikprøvekontrol af systemer, der behandler personoplysninger.

Sagens kerne

Sagen drejer sig om, hvorvidt Allerød Kommune har implementeret tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau i forbindelse med behandlingen af personoplysninger i socialforvaltningens systemer, særligt i ESDH-systemet Acadre.

Allerød Kommunes argumenter og procedurer

  • Kommunen har oplyst, at adgangen til it-systemer er begrænset til medarbejdere, der har et arbejdsbetinget behov.
  • Cheferne godkender brugerregistrering og -afmelding.
  • Retningslinjerne for logning og stikprøver i Borgerservice indebærer stikprøver ca. hver 6. uge.
  • Stikprøverne omfatter 5-6 opslag, hvor medarbejderne skal redegøre for årsagen til opslagene.
  • For Acadre udføres stikprøvekontrollen af administratoren to gange årligt.

Datatilsynets konstatering

Datatilsynet konstaterede, at Allerød Kommune ikke havde foretaget stikprøvekontrol i Acadre i perioden fra 25. september 2020 til 13. august 2021, hvilket var i strid med kommunens egne retningslinjer.

Konklusion

Datatilsynet udtalte kritik af, at Allerød Kommunes behandling af personoplysninger ikke var i overensstemmelse med Databeskyttelsesforordningen § 32.

Begrundelse

  • Datatilsynet fandt, at Allerød Kommunes procedurer for stikprøvekontrol generelt var tilfredsstillende, men at kommunen i mindst ét tilfælde ikke havde fulgt sine egne retningslinjer.
  • Datatilsynet vurderede, at stikprøvekontrol hvert halve år er et minimum i systemer, der behandler mange fortrolige og følsomme oplysninger.
  • Kommunen havde ikke udført stikprøvekontrol i Acadre i mere end seks måneder, hvilket ikke er passende organisatoriske foranstaltninger.
  • Covid-19 situationen ændrer ikke på kravet om kontrol minimum hvert halve år.
  • Datatilsynet bemærkede, at den seneste kontrol blev foretaget kort efter tilsynets anmodning om dokumentation.

Lignende afgørelser