Kritik af Hovedstadens Beredskabs mangelfulde adgangsstyring til personoplysninger

Hovedstadens Beredskab anmeldte i november 2022 et brud på persondatasikkerheden til Datatilsynet. Anledningen var, at alle brugere af deres ESDH-system siden systemets ibrugtagning i maj 2022 havde haft adgang til nuværende og tidligere medarbejderes fulde navne, personnumre og adresser, inklusive beskyttede adresser.

Hovedstadens Beredskabs forklaring

• Kontaktoplysningerne bruges til journalisering af personalesager.
• Adgangen burde have været differentieret, så kun medarbejdere med arbejdsbetinget behov havde adgang.
• Hovedstadens Beredskab og deres leverandør var ikke opmærksomme på den manglende differentiering.

Datatilsynets konstatering

• 184 brugere hos Hovedstadens Beredskab, 4 testbrugere og 6 brugere hos leverandøren havde adgang.
• ESDH-systemet indeholdt oplysninger om 2.029 nuværende og tidligere medarbejdere.
• 6 brugere havde tilgået oplysninger uden arbejdsbetinget behov.
• Personnumre er anonymiseret i søgeresultater, men kan tilgås via stamkort.
• Bopælsadresser er ikke længere tilgængelige, og adressebeskyttelse er markeret.

Planlagte ændringer

• Leverandøren planlægger at implementere en løsning med differentierede adgangsniveauer.
• Hovedstadens Beredskab analyserer, hvilke brugere der har behov for adgang.
• Ændringen forventes implementeret den 18. april 2023.
• Indtil da vil logs over hændelser i stamkortene løbende blive kontrolleret, og berørte registrerede vil blive underrettet.

Datatilsynets afgørelse

Datatilsynet udtaler kritik af, at Hovedstadens Beredskab I/S' behandling af personoplysninger ikke er sket i overensstemmelse med Databeskyttelsesforordningen artikel 32, stk. 1.

Begrundelse for afgørelsen

• Alle brugere af ESDH-systemet har haft adgang til nuværende og tidligere medarbejderes navne, personnumre og adresser, herunder beskyttede adresser.
• Det er muligt for brugerne af ESDH-systemet at tilgå oplysninger om nuværende og tidligere medarbejderes navne og personnumre.
• Hovedstadens Beredskab har ikke sikret differentierede brugeradgange til kontaktoplysninger i ESDH-systemet.
• Det er alene medarbejdere i Hovedstadens Beredskabs HR-afdeling, der har behov for adgang til de pågældende oplysninger.

Datatilsynet har noteret sig, at Hovedstadens Beredskab I/S forventer en systemændring den 18. april 2023, og at de vil kontrollere logs og underrette berørte registrerede indtil da.