Alvorlig kritik af kommune fra Datatilsynet: Manglede kontrol af medarbejder-adgang til persondata

Illustration: Datatilsynet
Kolding Kommune har siden 2012 behandlet personoplysninger i omkring 400.000 sager uden at træffe passende foranstaltninger.

Datatilsynet har behandlet en sag, hvor Kolding Kommune siden 2012 ikke har truffet passende tekniske og organisatoriske foranstaltninger med dokumenter indeholdende personoplysninger, i omkring 400.000 sager.

Tilsynet har derfor udtalt alvorlig kritik af Kolding Kommunens behandling af personoplysninger.

Det skriver Datatilsynet i en meddelelse.

Kolding Kommune har benyttet et dokument-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret.

Dokumenterne, der under normale forhold alene kunne tilgås gennem systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, hvis man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev heller ikke logget.

Glemte revision og afprøvning

Kommunen har fået foretaget årlige revisioner af et udvalg af sine it-systemer. Det omfattede dog ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af dokumenter. Heller ikke integritet af netværksinfrastrukturen eller procedurerne for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sådanne foranstaltninger blev udsat for revision.

De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var heller ikke opsat anden kontrol.

Set i lyset dette og den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne, konstaterer Datatilsynet at der ikke var der truffet passende tekniske og organisatoriske foranstaltninger.

Brobizz gav adresser væk

Og Kolding Kommune er ikke den eneste, der får ørene i maskinen på grund af persondata.

Brobizz A/S har anmeldt Datatilsynet, at der i tre sager i forbindelse med virksomhedens besvarelse af kundehenvendelser blev videregivet personoplysninger, herunder oplysninger om lokation, til uvedkommende.

På baggrund af de anmeldte brud bad Datatilsynet bl.a. Brobizz om at fremsende sin risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder dem, der omhandler identiteten af fysiske personer, der anmoder om indsigt.

Datatilsynet finder på baggrund af risikovurderingen, at virksomheden ved vurderingen af, hvilket sikkerhedsniveau der er passende, ikke har taget tilstrækkeligt hensyn til de risici, som behandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Louise Klint

Fra Afgørelsen, som er sendt til pågældende kommune:

  1. Udtalelse [...]Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Kolding Kommune ikke har behandlet personoplysninger med passende tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Herefter følger sagsfremstilling (hvori kommunens egen redegørelse indgår) og begrundelse.

Slutbemærkning:

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere.

Alt sammen super ordentligt, sagligt og redeligt. Men altså... Det var så det?!

Herefter arkiverer kommunen dokumentet i en virtuel mappe, og så kan det for så vidt være glemt. Der sker ikke videre.

Her er kun tilbage at håbe på, at kommunen agerer ansvarligt og samvittighedsfuldt fremover.

Afgørelsen (via linket i artiklen): https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/apr/k...

  • 2
  • 0
#4 René Nielsen

Mon ikke der var benyttet andre og alvorligere sanktionsmuligheder, fx bøder, end at udtale "alvorlig kritik", såfremt der var tale om en privat organisation eller virksomhed, der ikke efterlevede GDPR?

Jeg er enig. En bøde på f.eks. DKK 20 mio. ville selv for en kommune som Kolding betyde at der måtte skæres dybt i et eller andet sted som f.eks. at skulle lukke en børnehave eller en skole.

Jeg tror at bøden virker langt mere afskrækkende end ”alvorlig kritik” fra Datatilsynet.

Det gør jeg fordi, det er jo ikke sådan at de DKK 20 mio. i bøde forhindrer kommunen i at udføre børnepasning ud af et budget som vel udgør DKK 6 mia.

Men vrede forældre som laver demonstrationer og skriver vrede læserbreve på Facebook og lignende, fordi deres lokale skole eller børnehave skal lukkes - tror jeg virker langt mere præventivt for den politiske interesse i at overholde landets love.

Så længe at det i realiteten er uden politisk konsekvens tror jeg ikke på at databeskyttelseslove kommer op på ”den politiske radar”.

Det er derfor jeg mener at bøder indenfor offentlig forvaltning ”er vejen frem”.

Hvis kommunalbestyrelsen blev tvunget til at skulle gøre noget upopulært fordi kommunen skal bruge pengene her-og-nu til at betale en bøde, så tror jeg at den politiske interesse i at undgå dette scenarie ville stige markant.

Fra Louises link ovenfor har jeg følgende citat;

"Vi har ikke udført revision med henblik på at sikre, at kommunen overholder databeskyttelseslovgivningen, men vi har forespurgt kommunen med henblik på at opnå et overblik over området og for at sikre, at der ikke er overtrædelser, der vil have en væsentlig påvirkning på kommunens årsregnskab.”

Og jeg er helt enig med BDO – for når det ingen økonomiske konsekvenser har om kommunen overholder loven, så kan det jo i sagens natur heller ikke påvirke kommunens årsregnskab.

Oversat til almindeligt dansk så står der – ”At Kolding kommune er skide ligeglad med databeskyttelseslovgivningen!”

  • 3
  • 0
#5 Bo Andersen

Mon de ekstra omkostninger til en bøde vil blive taget fra:

1 - De ansvarlige chefers lønninger ?

2 - Børne- og ældreområdets budgetter ?

Bøder er ikke vejen frem i det offentlige. I stedet bør man vippe den ansvarlige chef ud. Chefer er jo ansvarlige for et eller andet, siges der. Det er i hvert fald begrundelsen for deres høje lønninger.

  • 1
  • 0
#6 Bjarne Nielsen

Jeg tror at bøden virker langt mere afskrækkende end ”alvorlig kritik” fra Datatilsynet.

Det må aldrig være billigere at lade stå til eller skære hjørner, end det er at gøre det ordentlig fra starten af. Det er at friste svage leder- og politikersjæle over evne.

Og "alvorlig kritik" er til at leve med, når forfremmelsen kommer, fordi man fik budgettet til at holde ved at snyde på vægten.

  • 3
  • 0
Log ind eller Opret konto for at kommentere