Alvorlig kritik af kommune fra Datatilsynet: Manglede kontrol af medarbejder-adgang til persondata

7 kommentarer.  Hop til debatten
Alvorlig kritik af kommune fra Datatilsynet: Manglede kontrol af medarbejder-adgang til persondata
Illustration: Datatilsynet.
Kolding Kommune har siden 2012 behandlet personoplysninger i omkring 400.000 sager uden at træffe passende foranstaltninger.
Tania Andersen
Tania Andersen
Journalist
22. april 2020 kl. 15:11
errorÆldre end 30 dage
Tania Andersen
Tania Andersen
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet har behandlet en sag, hvor Kolding Kommune siden 2012 ikke har truffet passende tekniske og organisatoriske foranstaltninger med dokumenter indeholdende personoplysninger, i omkring 400.000 sager.

Tilsynet har derfor udtalt alvorlig kritik af Kolding Kommunens behandling af personoplysninger.

Det skriver Datatilsynet i en meddelelse.

Kolding Kommune har benyttet et dokument-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret.

Artiklen fortsætter efter annoncen

Dokumenterne, der under normale forhold alene kunne tilgås gennem systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, hvis man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev heller ikke logget.

Glemte revision og afprøvning

Kommunen har fået foretaget årlige revisioner af et udvalg af sine it-systemer. Det omfattede dog ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af dokumenter. Heller ikke integritet af netværksinfrastrukturen eller procedurerne for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sådanne foranstaltninger blev udsat for revision.

De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var heller ikke opsat anden kontrol.

Set i lyset dette og den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne, konstaterer Datatilsynet at der ikke var der truffet passende tekniske og organisatoriske foranstaltninger.

Brobizz gav adresser væk

Og Kolding Kommune er ikke den eneste, der får ørene i maskinen på grund af persondata.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Brobizz A/S har anmeldt Datatilsynet, at der i tre sager i forbindelse med virksomhedens besvarelse af kundehenvendelser blev videregivet personoplysninger, herunder oplysninger om lokation, til uvedkommende.

På baggrund af de anmeldte brud bad Datatilsynet bl.a. Brobizz om at fremsende sin risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder dem, der omhandler identiteten af fysiske personer, der anmoder om indsigt.

Datatilsynet finder på baggrund af risikovurderingen, at virksomheden ved vurderingen af, hvilket sikkerhedsniveau der er passende, ikke har taget tilstrækkeligt hensyn til de risici, som behandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

7 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
Bjarne Nielsen
24. april 2020 kl. 07:54

I stedet bør man vippe den ansvarlige chef ud.

Er der noget, som kan få "vippet en chef ud", så er det at være årsag til budgetproblemer, især dem, som går ud over borgmesterens næste prestigeprojekt, fordi han er nødt til at omdirigere penge fra cigarkassen til børnepasning.

  • more_vert
    • insert_linkKopier link
5
Bo Andersen
24. april 2020 kl. 06:55

Mon de ekstra omkostninger til en bøde vil blive taget fra:

1 - De ansvarlige chefers lønninger ?

2 - Børne- og ældreområdets budgetter ?

Bøder er ikke vejen frem i det offentlige. I stedet bør man vippe den ansvarlige chef ud. Chefer er jo ansvarlige for et eller andet, siges der. Det er i hvert fald begrundelsen for deres høje lønninger.

  • more_vert
    • insert_linkKopier link
4
René Nielsen
23. april 2020 kl. 12:25

Mon ikke der var benyttet andre og alvorligere sanktionsmuligheder, fx bøder, end at udtale "alvorlig kritik", såfremt der var tale om en privat organisation eller virksomhed, der ikke efterlevede GDPR?

Jeg er enig. En bøde på f.eks. DKK 20 mio. ville selv for en kommune som Kolding betyde at der måtte skæres dybt i et eller andet sted som f.eks. at skulle lukke en børnehave eller en skole.

Jeg tror at bøden virker langt mere afskrækkende end ”alvorlig kritik” fra Datatilsynet.

Det gør jeg fordi, det er jo ikke sådan at de DKK 20 mio. i bøde forhindrer kommunen i at udføre børnepasning ud af et budget som vel udgør DKK 6 mia.

Men vrede forældre som laver demonstrationer og skriver vrede læserbreve på Facebook og lignende, fordi deres lokale skole eller børnehave skal lukkes - tror jeg virker langt mere præventivt for den politiske interesse i at overholde landets love.

Så længe at det i realiteten er uden politisk konsekvens tror jeg ikke på at databeskyttelseslove kommer op på ”den politiske radar”.

Det er derfor jeg mener at bøder indenfor offentlig forvaltning ”er vejen frem”.

Hvis kommunalbestyrelsen blev tvunget til at skulle gøre noget upopulært fordi kommunen skal bruge pengene her-og-nu til at betale en bøde, så tror jeg at den politiske interesse i at undgå dette scenarie ville stige markant.

Fra Louises link ovenfor har jeg følgende citat;

"Vi har ikke udført revision med henblik på at sikre, at kommunen overholder databeskyttelseslovgivningen, men vi har forespurgt kommunen med henblik på at opnå et overblik over området og for at sikre, at der ikke er overtrædelser, der vil have en væsentlig påvirkning på kommunens årsregnskab.”

Og jeg er helt enig med BDO – for når det ingen økonomiske konsekvenser har om kommunen overholder loven, så kan det jo i sagens natur heller ikke påvirke kommunens årsregnskab.

Oversat til almindeligt dansk så står der – ”At Kolding kommune er skide ligeglad med databeskyttelseslovgivningen!”

  • more_vert
    • insert_linkKopier link
3
Louise Klint
23. april 2020 kl. 11:46

Fra Afgørelsen, som er sendt til pågældende kommune:

1. Udtalelse
[...]Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale <strong>alvorlig kritik</strong> af, at Kolding Kommune ikke har behandlet personoplysninger med passende tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Herefter følger sagsfremstilling (hvori kommunens egen redegørelse indgår) og begrundelse.

Slutbemærkning:

Datatilsynet anser hermed sagen for afsluttet
og foretager sig herefter ikke yderligere.

Alt sammen super ordentligt, sagligt og redeligt. Men altså... Det var så det?!

Herefter arkiverer kommunen dokumentet i en virtuel mappe, og så kan det for så vidt være glemt. Der sker ikke videre.

Her er kun tilbage at håbe på, at kommunen agerer ansvarligt og samvittighedsfuldt fremover.

Afgørelsen (via linket i artiklen):https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/apr/kolding-kommune-havde-ikke-truffet-passende-tekniske-og-organisatoriske-foranstaltninger/

  • more_vert
    • insert_linkKopier link
2
Knud Larsen
23. april 2020 kl. 11:13
  • Det samme kan siges om ombudsmanden og
  • Retsikkerhedschefen i Skat og
  • Forbrugerombudsmanden
  • Skatteankenævnet og Landsskatteretten [http://skat-uret.dk/generelle-emner/anke-i-skattesager.aspx]
  • Byretterne er heller ikke meget bevendt (de respekterer ikke retsplejeloven) [http://skat-uret.dk/ret/2017-ringe-retspleje-politiets-rolle.aspx]
  • more_vert
    • insert_linkKopier link
1
John Michael Foley
23. april 2020 kl. 07:44

Mon ikke der var benyttet andre og alvorligere sanktionsmuligheder, fx bøder, end at udtale "alvorlig kritik", såfremt der var tale om en privat organisation eller virksomhed, der ikke efterlevede GDPR?

  • more_vert
    • insert_linkKopier link