Nordjyllands Politi kritiseres for manglende logkontrol i POLSAS

Datatilsynet indledte i 2021 et skriftligt tilsyn med Nordjyllands Politi, Fyns Politi og Bornholms Politi vedrørende brugerstyring og logkontrol i politiets sagsstyringssystem POLSAS. Tilsynet blev iværksat, da systemet behandler store mængder personoplysninger, herunder oplysninger om strafbare forhold. Datatilsynet udvalgte de tre politikredse for at få et billede af praksis i politikredse af forskellig størrelse og geografisk placering.

Fokus på logkontrol

Datatilsynet fokuserede på, om politikredsene havde tilstrækkelige procedurer for logkontrol for at sikre, at medarbejderne kun tilgik oplysninger, de havde et arbejdsbetinget behov for. Politikredsene foretog primært logkontrol ved konkret mistanke om misbrug.

Datatilsynet påpegede, at passende sikkerhed normalt indebærer løbende stikprøvekontrol af loggen. Hyppigheden af kontrollen bør baseres på en risikovurdering, men som minimum bør der foretages stikprøvekontrol hvert halve år, især ved bred adgang til fortrolige oplysninger. Datatilsynet foreslog også at etablere alarmer baseret på logdata for at identificere mistænkelig aktivitet.

Datatilsynet fremhævede, at logkontrol både har en korrigerende og en forebyggende effekt. Information til medarbejderne om logkontrol kan reducere risikoen for misbrug af adgangsrettigheder. Forebyggelse bør ske gennem awareness, systematisk rettighedsstyring, logning og løbende kontrol.

Datatilsynet lagde vægt på, at POLSAS behandler både almindelige og følsomme personoplysninger, og at stort set alle medarbejdere har adgang til systemet.

Datatilsynet bemærkede desuden:

• At arbejdsgivere skal overholde oplysningspligten ved kontrolforanstaltninger som logkontrol.
• At ved fælles dataansvar skal der være en klar aftale om ansvarsfordeling. To af politikredsene havde misforstået, at Rigspolitiet udførte stikprøvekontrol.

Datatilsynet fandt, at Nordjyllands Politi ikke havde implementeret tilstrækkelige procedurer for løbende logkontrol på tidspunktet for tilsynet. Derfor udtalte Datatilsynet kritik.

Begrundelse for kritik

Datatilsynet begrundede kritikken med følgende:

• POLSAS behandler både almindelige og følsomme personoplysninger.
• Alle medarbejdere i Nordjyllands Politi har som udgangspunkt adgang til alle sager og oplysninger i POLSAS.
• Nordjyllands Politi havde ikke implementeret faste procedurer for løbende logkontrol, men foretog kun kontrol ved konkret mistanke om misbrug.

Datatilsynet vurderede, at Nordjyllands Politi dermed ikke havde truffet passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, jf. Retshåndhævelseslovens § 27.

Datatilsynet bemærkede dog, at Nordjyllands Politi efterfølgende har indført stikprøvekontrol og awareness-kampagner. Datatilsynet understregede vigtigheden af at overholde oplysningspligten ved kontrolforanstaltninger og at afklare ansvarsfordelingen ved fælles dataansvar.