Frederikshavn Kommune får kritik og alvorlig kritik for mangelfuld behandlingssikkerhed og konsekvensanalyse i AULA

Datatilsynet har gennemført et tilsyn med Frederikshavn Kommunes behandling af personoplysninger i it-systemet AULA. Tilsynet fokuserede på kommunens overholdelse af reglerne om behandlingssikkerhed og kravet om at udarbejde en konsekvensanalyse, jf. Databeskyttelsesforordningen. Tilsynet blev iværksat efter Datatilsynet konstaterede, at KOMBIT A/S ikke kunne betragtes som dataansvarlig for AULA. Datatilsynet har efterfølgende orienteret Kommunernes Landsforening (KL), Styrelsen for It og Læring og KOMBIT om tilsynets resultater og formuleret anbefalinger til det videre arbejde med behandlingssikkerheden i AULA.

Centrale punkter i tilsynet:

• Konsekvensanalyse: Kommunen havde udarbejdet en konsekvensanalyse, men Datatilsynet vurderede, at den ikke opfyldte alle mindstekravene.
• Risikovurdering: Kommunen havde foretaget en risikovurdering, men Datatilsynet fandt, at kommunen ikke i tilstrækkelig grad havde påvist, at de havde sikret et passende sikkerhedsniveau.
• Fejlfremsendelse i AULA: Datatilsynet har konstateret, at en stor del af de anmeldte brud på persondatasikkerheden i AULA vedrører fejlfremsendelse af personoplysninger.

Frederikshavn Kommune har oplyst, at de i 2018 vurderede, at risikovurderingerne for AULA, der var udført af KOMBIT, var fyldestgørende. Kommunen har henvist til flere bilag med risikovurderinger af forskellige dataprocesser i AULA. Kommunen har i forbindelse med henvendelsen fra Datatilsynet kontaktet KOMBIT og modtaget de nyeste risikovurderinger for AULA.

Frederikshavn Kommune orienterede Datatilsynet om, at kommunen var påbegyndt udfærdigelsen af konsekvensanalysen, men at den endnu ikke var færdiggjort. Datatilsynet modtog Frederikshavn Kommunes konsekvensanalyse den 4. november 2022. Det fremgår af dokumentets versionsstyring, at den første version er udsendt til kommunerne den 28. januar 2020, og at KOMBIT i senere versioner har foretaget rettelser. Datatilsynet lægger på den baggrund til grund, at Frederikshavn Kommunes konsekvensanalyse er udarbejdet på baggrund af et udkast/skabelon fra KOMBIT.

Datatilsynet udtaler kritik af Frederikshavn Kommunes behandling af personoplysninger, da tilsynet vurderer, at behandlingen ikke er sket i overensstemmelse med Databeskyttelsesforordningen § 5, stk. 2 jf. Databeskyttelsesforordningen § 5, stk. 1, litra f, og Databeskyttelsesforordningen § 24, stk. 1 jf. Databeskyttelsesforordningen § 32, stk. 1.

Begrundelse for kritik:

• Kommunen har ikke i tilstrækkelig grad påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Datatilsynet udtaler alvorlig kritik af Frederikshavn Kommunes behandling af personoplysninger, da tilsynet vurderer, at behandlingen ikke er sket i overensstemmelse med Databeskyttelsesforordningen § 35, stk. 1.

Begrundelse for alvorlig kritik:

• Kommunen har først udarbejdet en konsekvensanalyse næsten tre år efter, at det stod klart, at kommunen er dataansvarlig for behandlingen af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede.
• Konsekvensanalysen er først udarbejdet efter, at Datatilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.
• Datatilsynet vurderer, at Frederikshavn Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a og d.