Kritik af Køge Kommune for manglende systematiske kontroller af brugerrettigheder i Aula

Datatilsynet gennemførte i sommeren 2021 et skriftligt tilsyn med Køge Kommunes administration af adgangsrettigheder på børne- og ungeområdet, særligt inden for skoleområdet. Tilsynet fokuserede på kommunens rettighedsstyring i Aula.

Køge Kommune anvender KMD Educa Personale og KMD Educa Elev til at sikre rettighedsbegrænsninger i Aula. Ændringer vedrørende lærere administreres af skoleledelsen i KMD Educa Personale, hvor også adgangen til elever styres. En medarbejder i Skoleafdelingen administrerer KMD Educa Personale, og tildeling af rettigheder sker via en brugerautorisationsblanket godkendt af nærmeste leder. Elever indskrives via www.indskrivning.dk og oprettes i Uni-login, hvorefter skolens administration vedligeholder data i KMD Educa. Data opdateres dagligt i Aula.

Kommunen har to typer administratorer i Aula: kommunale administratorer (medarbejdere i Skoleafdelingen) og institutionsadministratorer (skoleledere). En arbejdsgruppe er nedsat for at implementere og dokumentere systematiske kontroller af brugeradgange, med en deadline den 1. januar 2022.

Datatilsynets Afgørelse

Datatilsynet udtalte kritik af Køge Kommune for manglende overholdelse af Databeskyttelsesforordningen § 32, stk. 1, da kommunens behandling af personoplysninger ikke sikrede et tilstrækkeligt sikkerhedsniveau.

• Kommunen har ikke haft systematiske kontroller af brugernes rettigheder i Aula.
• Kontrollen har været mangelfuld, da den primært har fokuseret på medarbejderes adgange og ikke andre brugergrupper som forældre.
• Datatilsynet noterede sig, at Køge Kommune har iværksat tiltag for at forbedre de systematiske kontroller, med forventet fuld implementering den 1. januar 2022.