Kritik af Høje-Taastrup Kommune for manglende adgangsstyring i filsystemer

Datatilsynet gennemførte i sommeren 2021 et skriftligt tilsyn med Høje-Taastrup Kommunes adgangsstyring i kommunens filsystemer. Tilsynet omfattede vurderingen af, om kommunen havde tilstrækkelige retningslinjer og procedurer for at sikre, at adgangen til personoplysninger var begrænset til medarbejdere med et arbejdsbetinget behov.

Tilsynets omfang

• Datatilsynet anmodede om en liste over kommunens filsystemer, hvor der behandles personoplysninger.
• Kommunen oplyste, at adgang til netværksdrev administreres via it-afdelingen gennem en formular, og at adgangen er afgrænset med NTFS-rettigheder til AD-sikkerhedsgrupper.
• Tilsynet fokuserede særligt på adgangen til databasen LOIS, hvortil der var tildelt adgang til 12 AD-grupper.
• Datatilsynet anmodede om en liste over brugere med adgang via disse AD-grupper samt kommunens retningslinjer for indmeldelse i grupperne.

Kommunens forklaring

• Høje-Taastrup Kommune oplyste, at der ikke var nedskrevne retningslinjer for indmeldelse i AD-grupperne, og at kommunen derfor ikke kunne dokumentere vurderingen af det arbejdsbetingede behov.
• Kommunen fremviste en liste over 410 personer med AD-adgang til LOIS-databasen.
• Kommunen vurderede, at det krævede relativt høje tekniske kompetencer at tilgå databasen, og at kun 35 brugere havde tilgået den inden for de seneste seks måneder, som alle vurderedes at have et arbejdsbetinget behov.
• Kommunen oplyste, at den ville udarbejde retningslinjer for tildeling af adgang til databasen.

Datatilsynets afgørelse

Datatilsynet udtalte kritik af Høje-Taastrup Kommune for ikke at have overholdt Databeskyttelsesforordningens artikel 32, stk. 1, der omhandler passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau.

Begrundelse for afgørelsen:

• Kommunen havde ikke tilstrækkelige retningslinjer eller objektive kriterier for indmeldelse i AD-grupperne.
• 410 personer havde AD-adgang til LOIS-databasen, uden at kommunen kunne dokumentere en vurdering af deres arbejdsbetingede behov.
• Datatilsynet bemærkede, at det ikke ændrede resultatet, at det krævede tekniske kompetencer at anvende adgangen.

Datatilsynet opfordrede kommunen til at udarbejde retningslinjer, der objektivt beskriver, hvilken funktion eller arbejdsopgave der kræves for at få adgang, og at en leder verificerer behovet for den enkelte medarbejder.