Alvorlig kritik af kommune fra Datatilsynet: Manglede kontrol af medarbejder-adgang til persondata
Datatilsynet har behandlet en sag, hvor Kolding Kommune siden 2012 ikke har truffet passende tekniske og organisatoriske foranstaltninger med dokumenter indeholdende personoplysninger, i omkring 400.000 sager.
Tilsynet har derfor udtalt alvorlig kritik af Kolding Kommunens behandling af personoplysninger.
Det skriver Datatilsynet i en meddelelse.
Kolding Kommune har benyttet et dokument-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret.
Dokumenterne, der under normale forhold alene kunne tilgås gennem systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, hvis man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev heller ikke logget.
Glemte revision og afprøvning
Kommunen har fået foretaget årlige revisioner af et udvalg af sine it-systemer. Det omfattede dog ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af dokumenter. Heller ikke integritet af netværksinfrastrukturen eller procedurerne for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sådanne foranstaltninger blev udsat for revision.
De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var heller ikke opsat anden kontrol.
Set i lyset dette og den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne, konstaterer Datatilsynet at der ikke var der truffet passende tekniske og organisatoriske foranstaltninger.
Brobizz gav adresser væk
Og Kolding Kommune er ikke den eneste, der får ørene i maskinen på grund af persondata.
Brobizz A/S har anmeldt Datatilsynet, at der i tre sager i forbindelse med virksomhedens besvarelse af kundehenvendelser blev videregivet personoplysninger, herunder oplysninger om lokation, til uvedkommende.
På baggrund af de anmeldte brud bad Datatilsynet bl.a. Brobizz om at fremsende sin risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder dem, der omhandler identiteten af fysiske personer, der anmoder om indsigt.
Datatilsynet finder på baggrund af risikovurderingen, at virksomheden ved vurderingen af, hvilket sikkerhedsniveau der er passende, ikke har taget tilstrækkeligt hensyn til de risici, som behandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
