Københavns Kommune kritiseres for mangelfuld konsekvensanalyse vedrørende AULA

Datatilsynet har gennemført et skriftligt tilsyn med Københavns Kommune for at vurdere overholdelsen af databeskyttelsesforordningen og databeskyttelsesloven i forbindelse med kommunens behandling af personoplysninger i it-systemet AULA. Tilsynet fokuserede på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er implementeret for at sikre et passende sikkerhedsniveau, samt på kommunens risikovurdering og konsekvensanalyse.

Centrale punkter i tilsynet:

• Kommunens risikovurdering af AULA og de tilhørende sikkerhedsforanstaltninger.
• Kommunens konsekvensanalyse og dens overensstemmelse med databeskyttelsesforordningens krav.
• Kommunens håndtering af risici forbundet med brugen af UNI-login.
• Kommunens anvendelse af AULAs modul "Sikker fildeling" og de tilhørende sikkerhedsforanstaltninger.
• Kommunens opfølgning på en intern tilsynsrapport fra kommunens databeskyttelsesrådgiver.

Datatilsynet har gennemgået en række dokumenter fra Københavns Kommune, herunder risikovurderinger, konsekvensanalyser, interne rapporter og udtalelser fra kommunen. Tilsynet har også inddraget materiale fra KOMBIT, der er leverandør af AULA. Datatilsynet har konstateret, at Københavns Kommune har identificeret en række risici ved behandlingen af personoplysninger i AULA og har arbejdet målrettet på at nedbringe disse risici. Datatilsynet har dog også identificeret områder, hvor kommunen ikke fuldt ud har godtgjort, at passende foranstaltninger er implementeret for at nedbringe alle de identificerede risici. Datatilsynet har desuden vurderet, at kommunens konsekvensanalyse ikke opfylder alle mindstekravene i Databeskyttelsesforordningen artikel 35.

Datatilsynet udtaler kritik af Københavns Kommune for ikke at have gennemført en fyldestgørende konsekvensanalyse i overensstemmelse med Databeskyttelsesforordningen § 35, stk. 1. Datatilsynet anbefaler, at Københavns Kommune i deres reviderede risikovurderingskoncept strukturerer oplysningerne, så det bliver muligt at sammenligne risikovurderingerne før og efter implementeringen af foranstaltningerne, og at sammenhængen mellem foranstaltningerne og de enkelte risici fremgår tydeligt.

Begrundelse for kritikken:

• Konsekvensanalysen opfylder ikke alle mindstekravene i Databeskyttelsesforordningen artikel 35, stk. 7, litra a-d.
• Kommunen har ikke fuldt ud godtgjort, at passende foranstaltninger er implementeret for at nedbringe alle de identificerede risici.

Yderligere anbefalinger:

• Datatilsynet anbefaler, at kommunen i forbindelse med den planlagte opdatering af konsekvensanalysen sikrer, at oplysningerne er retvisende i forhold til, at AULA også anvendes i kommunens dagtilbud.
• Datatilsynet anbefaler, at Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – præciserer formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. Det er relevant at præcisere, hvilke dokumenttyper "Sikker fildeling" i AULA anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.