Brøndby Kommune får alvorlig kritik for manglende periodisk kontrol af adgangsrettigheder og flerfaktorautentifikation

Baggrund

Datatilsynet gennemførte i efteråret 2023 et fysisk tilsyn hos Brøndby Kommune for at undersøge kommunens overholdelse af databeskyttelsesreglerne. Tilsynet fokuserede på to områder:

• Periodisk kontrol af adgangsrettigheder til it-systemer.
• Implementering af flerfaktorautentifikation (MFA) ved adgang til kommunens systemer direkte fra internettet.

Datatilsynet tog udgangspunkt i anbefalinger fra tidligere tilsyn i 2021 og 2022, hvor kommunens modenhed på databeskyttelsesområdet blev vurderet.

Sagsfremstilling

Datatilsynet konstaterede, at Brøndby Kommune ikke havde foretaget tilstrækkelig kontrol af brugernes adgangsrettigheder i KMD Nexus, et sundhedssystem med adgang til følsomme personoplysninger. De seneste kontroller var udført i januar 2020 og marts 2021 som stikprøver. Kommunen havde heller ikke en formaliseret proces for at kontrollere rettidig lukning af eksterne brugeres adgang.

Kommunen havde desuden ikke implementeret MFA ved adgang til KMD Nexus, SAPA og Momentum før den 15. november 2023. Dette skete først efter, at Datatilsynet havde varslet tilsynet. Brøndby Kommune havde i en risikovurdering fra 2018-2019 identificeret manglen på MFA som en sårbarhed i KMD Nexus.

Brøndby Kommune anførte, at brugergennemgange skete løbende baseret på indmeldinger, og at der var automatiske lukninger af brugere via Active Directory. Kommunen planlagde at formalisere forretningsgangene og indføre systematisk kontrol.

Kommunens tiltag efter tilsynsbesøget

Efter tilsynsbesøget iværksatte Brøndby Kommune en systematisk kontrol af alle brugere i KMD Nexus og konstaterede, at flere eksterne brugere ikke var blevet lukket rettidigt, og at nogle ansatte havde for mange rettigheder. Kommunen arbejdede på at implementere en workflow-baseret arbejdsgang i et attesteringsmodul for at sikre løbende kontrol.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Brøndby Kommune for ikke at have truffet passende sikkerhedsforanstaltninger, jf. Databeskyttelsesforordningen art. 32, stk. 1. Datatilsynet lagde vægt på:

• Manglende løbende kontrol af almindelige brugeres adgangsrettigheder i KMD Nexus.
• Manglende implementering af flerfaktorautentifikation (MFA) ved adgang til KMD Nexus, SAPA og Momentum direkte fra internettet før den 15. november 2023.

Datatilsynet vurderede, at disse mangler udgjorde en risiko for behandlingen af personoplysninger i kommunen. Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige for de pågældende brugeres behov.

Datatilsynet bemærkede, at Brøndby Kommune efter tilsynsbesøget havde iværksat tiltag for at forbedre sikkerheden, herunder systematisk kontrol af brugeradgange og implementering af MFA.