Søg i alle vores afgørelser

Find flere relevante afgørelser i vores omfattende database med over 100.000 afgørelser.

Søg i afgørelser Chat med afgørelser

Kritik af Gladsaxe Kommune for manglende overholdelse af behandlingssikkerhed vedrørende adgangsstyring i SBSYS

Dato

26. april 2022

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederKritikTilsyn / egendriftssagBehandlingssikkerhedAdgangskontrol

Datatilsynet gennemførte i sommeren 2021 et skriftligt tilsyn med Gladsaxe Kommunes håndtering af adgangsrettigheder på børne- og ungeområdet, særligt inden for skoleområdet. Tilsynet fokuserede på, om kommunen havde sikret, at fratrådte medarbejderes adgangsrettigheder til det elektroniske sags- og dokumenthåndteringssystem SBSYS var blevet inddraget.

Datatilsynet anmodede om en liste over systemer på kommunens skoleområde, der behandler personoplysninger, og efterfølgende om yderligere oplysninger om rettighedsstyringen i SBSYS. Kommunen fremsendte udtalelser og lister over fratrådte medarbejdere. Datatilsynet udvalgte medarbejdere til stikprøvekontrol og anmodede om dokumentation for, hvornår deres adgangsrettigheder var blevet inddraget.

Det fremgår af Gladsaxe Kommunes informationssikkerhedshåndbog, at adgangen til kommunens it-systemer skal begrænses gennem konkrete autorisationer, og at medarbejdere kun skal have adgang til personoplysninger, hvis de har et arbejdsbetinget behov. Håndbogen beskriver også procedurer for tildeling, ændring og sletning af adgangsrettigheder, samt krav om regelmæssig gennemgang af brugernes rettigheder.

Gladsaxe Kommune oplyste, at SBSYS anvendes til journalisering af forskellige oplysninger om elever, og at adgangen styres via kommunens Active Directory (AD). Kommunen oplyste, at superbrugere bestiller og afmelder rettigheder på vegne af lederne, og at det er ledernes ansvar at sikre, at medarbejderne har de korrekte roller i SBSYS.

Det kom frem, at en fratrådt medarbejder havde haft adgang til SBSYS efter sin fratrædelse, og at kommunens procedure for at gennemgå fratrådte medarbejderes konti ikke var blevet fulgt.

Datatilsynets Afgørelse

Datatilsynet udtalte kritik af Gladsaxe Kommune for ikke at have overholdt Databeskyttelsesforordningens artikel 32, stk. 1, der omhandler passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen ved behandlingen af personoplysninger.

Datatilsynet lagde vægt på, at en bruger havde haft adgang til SBSYS efter sin fratrædelse.
Kommunens procedure om at gennemgå fratrådte medarbejderes konti var ikke blevet fulgt.
Datatilsynet påpegede, at der skal være en kontrolprocedure, der effektivt følger op på, om inddragelse af rettigheder ved stillingsophør rent faktisk sker, og at denne procedure bør være organisatorisk og/eller teknisk forankret.

Læs også

Myndighedens it•30. september 2022

Høring

Ny bekendtgørelse om krav til studieadministrative IT-systemer for ungdoms- og voksenuddannelser

Formål og baggrund

Styrelsen for It og Læring har udstedt en ny bekendtgørelse, der opdaterer kravene til studieadministrative IT-systemer (SA-systemer). Formålet er at sikre, at de IT-systemer, som uddannelsesinstitutioner anvender til administration af elever og kursister, lever op til moderne standarder for funktionalitet, databehandling og sikkerhed. Bekendtgørelsen erstatter den hidtidige bekendtgørelse nr. 725 af 25. maj 2022.

Anvendelsesområde

Bekendtgørelsen omfatter en bred vifte af uddannelsesinstitutioner, herunder:

Almene voksenuddannelser (avu)
Erhvervsuddannelser (EUD)
Arbejdsmarkedsuddannelser (AMU)
De gymnasiale uddannelser (stx, hf, hhx, htx)
Forberedende grunduddannelse (FGU)

Hovedkrav: Systemrevisionserklæring

Det centrale krav i bekendtgørelsen er, at et SA-system skal være omfattet af en systemrevisionserklæring uden forbehold. Denne erklæring, som skal udarbejdes af en statsautoriseret eller registreret revisor, har en gyldighed på 2 år.

Erklæringen skal indeholde:

ISAE 3402-erklæring (type 2): Dokumenterer, at systemet overholder de specifikke kontrolmål og kontroller, der er beskrevet i bekendtgørelsens IT-instruks (bilag 1).
ISAE 3000-erklæring (type 2): Dokumenterer, at systemets behandling af personoplysninger er i overensstemmelse med gældende databeskyttelsesregler, herunder databeskyttelsesforordningen (GDPR).

Væsentlige ændringer

Den nye bekendtgørelse, som træder i kraft den 1. januar 2023, indeholder flere justeringer i forhold til den tidligere regulering.

Ændringsområde	Detaljer
Lovhenvisninger	Hjemmelsgrundlaget i præamblen er opdateret for at afspejle nye institutionslove.
Ikrafttrædelse	Datoen er fastsat til 1. januar 2023.
Overgangsregel	Systemrevisionserklæringer udstedt under tidligere bekendtgørelser bevarer deres gyldighed i 2 år fra underskriftstidspunktet.
Ungedatabasen	Der er foretaget justeringer i integrationerne til Ungedatabasen for at adskille data fra FGU og andre ungdomsuddannelser. En integration vedrørende EUD-oplysninger til GYM-henvisningstilskud er udgået.

Høringsproces

Udkastet til bekendtgørelsen var i høring fra 30. september til 28. oktober 2022 hos 34 myndigheder og organisationer. Der blev modtaget 9 høringssvar, hvoraf ingen gav anledning til indholdsmæssige ændringer i det endelige dokument.

Læs mere

Myndighedens it· 4. oktober 2023

Høring

Nye krav til systemrevision og datasikkerhed for studieadministrative IT-systemer på uddannelsesinstitutioner

Denne bekendtgørelse fastsætter nye og opdaterede krav til de studieadministrative IT-systemer (SA-systemer), der anvend...

Læs mere

Andre relevante lovforslag

Forslag til Lov om Nemkonto

Digitaliseringsministeriet27. mar. 2025

Forslag til Lov om MitID og NemLog-in

Finansministeriet11. feb. 2021

Flere lignende afgørelser

Indirekte kønsdiskrimination ved begrænset digital adgang til børns sundhedsoplysninger

Ligebehandlingsnævnet10. dec. 2015

Afvisning af midlertidigt forbud og påbud vedrørende brugerdata efter ophørt forsikringssamarbejde

Søg i alle vores afgørelser