Randers Kommune får kritik og alvorlig kritik for mangelfuld risikovurdering og konsekvensanalyse ved brug af AULA

Datatilsynet gennemførte i 2021 et tilsyn med seks kommuners behandling af personoplysninger i it-systemet AULA. Tilsynet fokuserede på overholdelse af reglerne om behandlingssikkerhed og kravet om konsekvensanalyse i Databeskyttelsesforordningen. Tilsynet var en opfølgning på et tidligere tilsyn med Kombit A/S (KOMBIT), hvor Datatilsynet fastslog, at KOMBIT ikke var dataansvarlig for AULA. Datatilsynet orienterede Kommunernes Landsforening (KL), Styrelsen for It og Læring og KOMBIT om afgørelserne og formulerede anbefalinger til forbedring af behandlingssikkerheden i AULA. Randers Kommune var en af de kommuner, der var omfattet af tilsynet.

Randers Kommunes brug af AULA

• Randers Kommune anvender AULA til kommunikation mellem skoler/daginstitutioner og forældre.
• Kommunen havde udarbejdet en risikovurdering og en konsekvensanalyse for brugen af AULA.
• Datatilsynet vurderede, at risikovurderingen ikke tilstrækkeligt dokumenterede de identificerede risici og de implementerede sikkerhedsforanstaltninger.
• Datatilsynet konstaterede, at konsekvensanalysen ikke opfyldte alle mindstekravene.

Datatilsynets fokus

• Datatilsynet fokuserede på kommunernes risikovurdering og konsekvensanalyse i forbindelse med brugen af AULA.
• Tilsynet undersøgte, om kommunerne havde identificeret og vurderet de risici, som behandlingen af personoplysninger i AULA udgjorde for de registrerede.
• Tilsynet undersøgte ligeledes, om kommunerne havde implementeret passende sikkerhedsforanstaltninger for at beskytte personoplysningerne.

Randers Kommunes bemærkninger

• Randers Kommune havde udarbejdet en risikovurdering baseret på KOMBIT’s risikovurdering.
• Kommunen havde identificeret 19 trusler og vurderet deres potentielle indvirkning på fortrolighed, integritet og tilgængelighed.
• Kommunen havde implementeret en række foranstaltninger for at reducere risikoen for de identificerede trusler.
• Randers Kommune havde udarbejdet en konsekvensanalyse baseret på KOMBIT’s skabelon.
• Kommunen havde tilpasset konsekvensanalysen til deres specifikke forhold.

Datatilsynet udtalte kritik af Randers Kommunes behandling af personoplysninger i AULA, da kommunen ikke havde godtgjort, at de havde identificeret og vurderet de væsentligste risici, og at de implementerede sikkerhedsforanstaltninger var tilstrækkelige, jf. Databeskyttelsesforordningen § 5, stk. 2 jf. Databeskyttelsesforordningen § 5, stk. 1, litra f, og Databeskyttelsesforordningen § 24, stk. 1 jf. Databeskyttelsesforordningen § 32, stk. 1.

Alvorlig kritik for mangelfuld konsekvensanalyse

• Datatilsynet udtalte alvorlig kritik af, at Randers Kommune først havde udarbejdet en konsekvensanalyse næsten to år efter, at det stod klart, at kommunen var dataansvarlig, og at konsekvensanalysen først blev udarbejdet efter Datatilsynets anmodning, hvilket er i strid med Databeskyttelsesforordningen § 35, stk. 1.
• Datatilsynet vurderede, at Randers Kommunes konsekvensanalyse ikke opfyldte mindstekravene i Databeskyttelsesforordningen § 35, stk. 7, litra a, c og d.

Anbefalinger

• Datatilsynet anbefalede, at Randers Kommune sammen med KOMBIT og de øvrige dataansvarlige kommuner undersøger mulighederne for at gennemføre tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse i AULA.
• Datatilsynet opfordrede til, at der på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT udarbejdes et adfærdskodeks i overensstemmelse med Databeskyttelsesforordningen § 40 vedrørende kommunernes behandling af personoplysninger i AULA.