Alvorlig kritik og påbud til Lolland Kommune for manglende overholdelse af databeskyttelsesreglerne i AULA

Baggrund for tilsynet

Datatilsynet iværksatte i efteråret 2021 et tilsyn med seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynet fokuserede på overholdelse af databeskyttelsesforordningens regler om behandlingssikkerhed og kravet om at udarbejde en konsekvensanalyse.

Tilsynet var en opfølgning på et tidligere tilsyn med Kombit A/S (KOMBIT) i december 2019, hvor Datatilsynet fastslog, at KOMBIT ikke var dataansvarlig for AULA. Kommunerne er dataansvarlige for behandlingen af personoplysninger i AULA.

Problemstillinger

Sagen omhandler Lolland Kommunes brug af AULA, og Datatilsynets vurdering af, om kommunen har overholdt kravene i databeskyttelsesforordningen vedrørende:

• Risikovurdering
• Konsekvensanalyse

Datatilsynet har konstateret, at en stor del af de anmeldte brud på persondatasikkerheden i AULA vedrører fejlfremsendelse af personoplysninger.

Lolland Kommunes bemærkninger

• Kommunen har ikke udarbejdet selvstændige risikovurderinger, men har anvendt KOMBIT’s risikovurderinger.
• Kommunen har vedlagt 10 Excel-ark med titlen ”Konsekvensvurdering” for forskellige moduler i AULA, udarbejdet af KOMBIT.
• Kommunen besluttede i 2022 at foretage en opdateret konsekvens- og risikoanalyse i samarbejde med skolerne.
• Kommunen er efterfølgende påbegyndt arbejdet med at identificere mitigerende handlinger for at nedbringe risikoen.
• Kommunen mener, at de nuværende risiko- og konsekvensanalyser tegner et mere risikofyldt billede end praksis.

Datatilsynets vurdering

Datatilsynet har vurderet, at Lolland Kommune ikke har sikret tilstrækkelig sikkerhed for de registrerede i AULA. Datatilsynet har lagt vægt på, at kommunen i januar 2023 endnu ikke havde afsluttet arbejdet med at identificere relevante foranstaltninger til at nedbringe de identificerede risici. Datatilsynet har også vurderet, at de fremsendte Excel-ark ikke opfylder kravene til en konsekvensanalyse.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Lolland Kommune for ikke at have overholdt Databeskyttelsesforordningen artikel 5, stk. 1, litra f og Databeskyttelsesforordningen artikel 32, stk. 1 om behandlingssikkerhed.

Datatilsynet udtaler ligeledes alvorlig kritik af, at Lolland Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. Databeskyttelsesforordningen artikel 35, stk. 1.

• Datatilsynet meddeler Lolland Kommune et påbud om at foretage en konsekvensanalyse i overensstemmelse med Databeskyttelsesforordningen artikel 35.
• Fristen for efterlevelse af påbuddet er den 22. marts 2024.

Datatilsynet bemærker, at Lolland Kommune skal høre Datatilsynet, hvis kommunen vurderer, at de ikke kan afhjælpe de identificerede risici på fyldestgørende vis.