Datatilsynets afgørelser om AULA: Kritik for manglende konsekvensanalyser og risikovurderinger i kommuner

Datatilsynet har gennemført en række tilsyn med seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene fokuserede på overholdelse af databeskyttelsesforordningens regler om behandlingssikkerhed og kravet om at udarbejde konsekvensanalyser. Baggrunden for tilsynet var et ønske om at undersøge kommunernes overvejelser i forhold til behandlingssikkerheden ved brugen af AULA, da Datatilsynet har konstateret en række brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.

Fokus for tilsynet

• Kommunernes risikovurdering og konsekvensanalyse vedrørende AULA.
• Kommunernes overvejelser i forhold til Databeskyttelsesloven § 25 om databeskyttelse gennem design og standardindstillinger i forbindelse med anskaffelsen og udviklingen af AULA samt en gennemgang af deres autorisations- og adgangsstyringsmodeller.

Kommunernes tilgang til konsekvensanalyser

• Kommunerne har haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser, selvom de benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter.
• Flere kommuner har henvist til materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet; nogle har tilsluttet sig KOMBIT’s risikovurdering, mens andre har foretaget egne vurderinger.

Risiko for fejlfremsendelse i AULA

• En stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA.
• Flere kommuner har implementeret organisatoriske foranstaltninger for at informere brugerne om denne risiko ved afsendelse af beskeder via AULA.

Datatilsynets anbefalinger

• Kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.
• KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA.

Datatilsynet har truffet afgørelse i fem ud af seks tilsynssager vedrørende kommunernes brug af AULA. Samtlige fem kommuner har modtaget kritik eller alvorlig kritik, primært relateret til mangler i konsekvensanalyser og risikovurderinger.

Konklusioner og kritikpunkter:

• To kommuner modtog alvorlig kritik og et påbud om at udarbejde en konsekvensanalyse inden for tre måneder, da de slet ikke havde udarbejdet en konsekvensanalyse.
• De resterende tre kommuner havde udarbejdet konsekvensanalyser, men disse opfyldte ikke alle mindstekravene.
• Alle fem kommuner modtog kritik eller alvorlig kritik for deres risikovurderinger, primært på grund af manglende dokumentation for identificerede og nedbragte risici samt utilstrækkelig implementering af relevante sikkerhedsforanstaltninger.
• Datatilsynet understreger vigtigheden af, at kommunerne forholder sig til risikovurderingsmateriale fra KOMBIT og foretager en dokumenteret vurdering af, hvorfor eventuelle risici ikke er relevante for den enkelte kommune.

Datatilsynet anbefaler, at KOMBIT sammen med de dataansvarlige kommuner undersøger mulighederne for at implementere tekniske foranstaltninger, der kan mindske risikoen for fejlfremsendelse i AULA. Datatilsynet opfordrer også til, at kommunerne overvejer at udarbejde en fælles konsekvensanalyse og et adfærdskodeks for brugen af AULA.