Esbjerg Kommune kritiseres for mangelfuld risikovurdering og konsekvensanalyse ved brug af AULA

Baggrund

Datatilsynet iværksatte i efteråret 2021 et tilsyn med seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynet fokuserede på overholdelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyser.

Tilsynet var en opfølgning på et tidligere tilsyn med Kombit A/S (KOMBIT) i december 2019, hvor Datatilsynet fastslog, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA. Kommunerne og KOMBIT havde hidtil været af den opfattelse, at dataansvaret lå hos KOMBIT.

Problemstilling

Sagen omhandler, hvorvidt Esbjerg Kommune har overholdt kravene i databeskyttelsesforordningen vedrørende risikovurdering og konsekvensanalyse i forbindelse med brugen af AULA.

Esbjerg Kommunes argumenter

• Kommunen har fremsendt risikovurderinger af kommunens fortegnelser over behandlingsaktiviteter.
• Kommunen har tilsluttet sig de risikovurderinger for AULA, som KOMBIT har udarbejdet.
• Kommunen har i deres konsekvensanalyse vedrørende AULA foretaget en risikovurdering, hvor en række trusler er identificeret, og hvor kommunen har identificeret 33 sikkerhedskontroller, som de vurderer kan nedbringe risikoen fra høj til lav.
• Kommunen anvender ikke modulet ”sikker fildeling” i AULA.

Datatilsynets vurdering

• Kommunens risikovurdering i deres konsekvensanalyse indeholder ikke de elementer, som en risikovurdering bør indeholde.
• Kommunen forholder sig ikke konkret til, hvad risiciene indebærer i forhold til de behandlingsaktiviteter, der foregår i AULA.
• Kommunen har ikke redegjort for, hvorfor de anførte risikoscenarier indebærer en lavere risiko i Esbjerg Kommune, end hvad der fremgår af KOMBIT’s risikovurdering.
• Kommunen har ikke gennemført en fyldestgørende konsekvensanalyse, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil.
• Kommunen har først udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA 10 måneder efter, at kommunen er blevet opmærksom på, at de er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede.

Afgørelse

Datatilsynet udtaler kritik af Esbjerg Kommunes behandling af personoplysninger, da den ikke er sket i overensstemmelse med databeskyttelsesforordningens krav om tilstrækkelig sikkerhed og den dataansvarliges ansvar for at implementere passende tekniske og organisatoriske foranstaltninger.

• Esbjerg Kommune har ikke påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger udgør for de registrerede.
• Den samlede dokumentation er ikke tilstrækkelig underbygget med henblik på at påvise, at Esbjerg Kommune har nedbragt risikoen til at være lav og sikret et passende beskyttelsesniveau.

Datatilsynet udtaler ligeledes kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens krav om at gennemføre en konsekvensanalyse.

• Esbjerg Kommune har ikke gennemført en fyldestgørende konsekvensanalyse, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil.
• Esbjerg Kommune har først udarbejdet en konsekvensanalyse 10 måneder efter, at det stod klart, at kommunen var dataansvarlig.