Lovguiden Logo

Command Palette

Search for a command to run...

Københavns Kommune får alvorlig kritik for manglende overholdelse af Databeskyttelsesforordningen vedrørende behandlingssikkerhed

Dato

7. maj 2024

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikAnmeldt brud på persondatasikkerhedenAnmeldelse af brud på persondatasikkerhedenBørnFølsomme oplysningerUautoriseret adgang

Lovreferencer

Databeskyttelsesloven § 5, stk. 1Forvaltningsloven § 9a

Baggrund for sagen

Københavns Kommune anmeldte et brud på persondatasikkerheden til Datatilsynet, efter en rutinescanning afslørede, at der var givet for bred adgang til et drev indeholdende personoplysninger. Denne fejl opstod i forbindelse med en diskswap, hvor en medarbejder med administratoradgang ved en menneskelig fejl gav ca. 37.500 medarbejdere uberettiget adgang til oplysninger om op mod 3,7 millioner personer.

Oplysninger i sagen

  • De berørte oplysninger inkluderede navne, adresser, oplysninger om elevers trivsel, sprogvurdering samt tandlæge- og sundhedsplejeoplysninger vedrørende børn.
  • Adgangen var for bred i knap to måneder, før fejlen blev opdaget og lukket.
  • Kommunen vurderede, at sandsynligheden for, at en almindelig it-bruger ville finde drevet, var lille, da det krævede særlige forudsætninger.
  • Hovedparten af filerne var i et SAS-format, der krævede bearbejdning i et SAS-program for at være læselige.

Kommunens foranstaltninger

  • Før hændelsen foretog kommunen kvartalsvise netværksscanninger og havde brugerinstrukser for datahåndtering.
  • Efter hændelsen har kommunen iværksat initiativer for at undgå lignende situationer, herunder logging af ændringer i serverrettigheder og udarbejdelse af en fællesadministrativ forretningsgang.

Datatilsynets vurdering

Datatilsynet har vurderet, at der er sket et brud på persondatasikkerheden, da der har været uautoriseret adgang til personoplysninger. Tilsynet har lagt vægt på, at kommunen ikke havde sikret, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet, og at en enkelt medarbejders fejl kunne resultere i et brud, der omfattede et stort antal personer. Datatilsynet har også bemærket, at det ikke umiddelbart efter flytningen af oplysningerne blev testet, om rettighederne til drevet var korrekte.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Københavns Kommunes behandling af personoplysninger.

Begrundelse

  • Kommunen har ikke truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene ved behandlingen af personoplysninger, jf. Databeskyttelsesforordningen § 32, stk. 1.
  • Kommunen sikrede ikke, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet.
  • En enkelt medarbejders fejl kunne resultere i et brud, der omfattede 3,7 mio. personer.
  • Det blev ikke umiddelbart efter flytningen af oplysningerne testet, om rettighederne til drevet var korrekte.
  • Datatilsynet bemærker, at selvom kommunen foretager periodiske netværksscanninger, har de efterfølgende anmeldt flere brud på persondatasikkerheden, hvilket indikerer et fortsat behov for fokus på implementering af passende sikkerhedsforanstaltninger.

Lignende afgørelser