Alvorlig kritik og påbud til Mariagerfjord Kommune for manglende overholdelse af databeskyttelsesregler

Datatilsynet gennemførte et tilsyn med Mariagerfjord Kommune for at vurdere kommunens overholdelse af databeskyttelsesreglerne, særligt inden for sikkerhed. Tilsynet var en opfølgning på en tidligere modenhedsanalyse og efterfølgende udtalelser fra kommunen.

Kommunens bemærkninger

• Mariagerfjord Kommune havde ikke udarbejdet formelle skemaer over trusler og konsekvenser, men baserede risikovurderingen på erfaringer fra de enkelte forvaltninger.
• Implementeringen af to-faktor-autentifikation var kun delvist gennemført, men kommunen forventede fuld implementering i det kommende år.
• Kontrollen af adgangsrettigheder foregik manuelt, hvor databeskyttelsesrådgiveren halvårligt sendte en liste over systemer til systemejerne, som derefter havde seks uger til at kontrollere autorisationerne.
• Kommunen havde ikke indført systematisk logopfølgning, men foretog stikprøvekontrol af administratorernes logs ved mistanke om misbrug eller ved revisionskontroller.
• Medarbejdere havde rettigheder til at installere programmer på egne enheder efter en ledelsesmæssig beslutning baseret på en risikovurdering, men blev advaret via en pop-up besked før installation.
• Mange af kommunens systemer understøttede ikke automatisk sletning, og kun få systemer tillod sletning på enkeltpostniveau. Kommunen havde forgæves forsøgt at kontakte leverandørerne for at løse problemet.

Datatilsynet udtalte alvorlig kritik af Mariagerfjord Kommunes behandling af personoplysninger og meddelte påbud.

Centrale punkter i afgørelsen:

• Alvorlig kritik for at opbevare personoplysninger ud over det nødvendige tidsrum og for manglende retningslinjer for sletning, hvilket er i strid med Databeskyttelsesforordningen artikel 5, stk. 1, litra e.
• Alvorlig kritik for manglende passende sikkerhedsforanstaltninger, herunder utilstrækkelig kontrol af logoversigter, manglende implementering af multifaktor-autentifikation og manglende begrænsning af medarbejderes rettigheder til at installere programmer, hvilket er i strid med Databeskyttelsesforordningen artikel 32, stk. 1.

Påbud:

• Udarbejde en liste over kommunens systemer, der behandler personoplysninger, med oplysninger om sletningsmuligheder og -frister.
• Slette personoplysninger, der har overskredet fastsatte slettefrister.
• Udarbejde en plan for at få slettet personoplysninger i samarbejde med systemleverandører.
• Fjerne medarbejderes rettigheder til at installere programmer på enheder, der er tilsluttet kommunens netværk.

Overtrædelse af påbuddene kan medføre bøde eller fængsel i op til 6 måneder, jf. Databeskyttelsesloven § 41.