Datatilsynet revser kommune: Gæstekonto gav adgang til persondata

Middelfart Kommune bliver kritiseret af Datatilsynet for lemfældig omgang med personfølsomme data. Lovovertrædelser er særdeles kritisable, bemærker tilsynet.

Personfølsomme oplysninger har i årevis været tilgængelige for uvedkommende gennem et it-system i Middelfart Kommune.

På baggrund af en redegørelse fra kommunen, har Datatilsynet konstateret, at man siden 2008 har behandlet personlige oplysninger i et system, der langt fra lever op til datalovgivningen. Det fremgår af styrelsens afgørelse, som netop er blevet offentliggjort.

Læs også: Datatilsynet har øje på fax i sundhedssektoren

Middelfart Kommune har med it-systemet ISAP ikke truffet de nødvendige sikkerhedsforanstaltninger, lyder afgørelsen. Blandt andet har enhver på bostedet Vestbo kunne logge på systemet med en gæstekonto, der ikke kræver kodeord. Et link til kontoen blev efterfølgende gjort tilgængeligt online.

Gennem kontoen har man haft adgang til medarbejdernes arbejdsskadesager, oplyser kommunen.

Læs også: Datatilsynet kritiserer flere myndigheder for at dele mainframe og diske hos CSC

Kommunens it-brøde består desuden i manglende logning af afviste adgangsforsøg og manglende kontrol med bruger-autoriseringer. Endelig har kommunen tilsyneladende ikke haft nogle skriftlige aftaler med databehandlere, som Persondataloven kræver.

Alt i alt er der tale ‘omfattende mangler i Middelfart Kommunes efterlevelse af persondataloven og sikkerhedsbekendtgørelsen i forhold til et it-system med følsomme personoplysninger,’ skriver Datatilsynet, der kalder overtrædelserne særdeles kritisable.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (14)

Bent Jensen

Hvad skulle forhindre dem i ikke bare at forsætte ?
Måske den nye EU lov vil hjælpe her.

Personlig vil jeg mene en ny hjemmeside hvor man samler en oversigt over medarbejder der har ansvar sammen med deres "merit"
Så kan man som privat virksomhed fravælge personer til job de ikke er voksen til.

Mon Martin Albertsen er nyansat eller har arbejdet på denne del hele tiden.
De har da brugt tid på en masse FLOT djøf ting,

https://www.middelfart.dk/edoc/%C3%98konomiudvalget/2014-03-31%2013.00/D...

Bent Jensen

Nu er loven ikke helt implanmenteret, heller ikke hvordan den skal fortolkes.
Men mener der er mulighed for at give bøde til det offentlige, også derfor at der er 2 måder at beregne bøder på.
Men om ikke anden kan de leverendøre der er brugt drages til ansvar.
Det er da heldigvis noget som er blevet bedre, man kan ikke sende aben videre, alle får den.

"En anden af de mere markante ændringer i forordningen er, at alle offentlige myndigheder og selskaber med mere end 250 ansatte skal udpege en Data Protection Officer (DPO), som skal sikre at myndigheden/selskabet overholder reglerne"
Når loven også omhandler myndigheder, så formodes det at bøderne også kan gives her. De køre så heller ikke i RING, da de skal sendes til EU.

Men jeg ved det lige så meget som dig, loven er jo langfra vedtaget og i brug,

Jesper Hansen

Det er helt korrekt, loven er ikke vedtaget endnu.
Dele af den er dog op til det enkelte medlemsland at vedtage, bl.a. bøder til offentlige myndigheder:

Each Member States may however lay down rules on whether and to what extent administrative fines may be imposed on public authorities and bodies established in that Member State.

http://www.twobirds.com/~/media/pdfs/gdpr-pdfs/72--guide-to-the-gdpr--ad...

Lige præcis den del bliver spændende at følge, da de offentlige myndigheder jo hidtil har været undtaget. Jeg tvivler på det ændrer sig, men jeg bliver gerne positivt overrasket :-)

Morten Nielsen

Giver det mening at pålægge offentlige myndigheder bøder?

Så skal man bruge penge på at administrerer at der flyttes penge fra en offentlig pengekasse til en anden offentlig pengekasse - er det ikke bare en dum måde at bruge skattepenge på uden at nogen får noget som helst ud af det?

Angående artiklen, så håber jeg virkelig at der snart er nogle journalister der forstår at der ikke findes noget der hedder personfølsomme data.

Der er følsomme persondata og "almindelige" persondata - og så lige i Danmarks tilfælde er der pt. en mellem kategori med fortrolige persondata.

Jesper Hansen
Bent Jensen

Nej ikke altid, men som eksemplet med Middelfart Kommune, så bliver det ikke samme kasse. Men helt fint hvis det blev til EU, så kan det ikkebare køre i ring.

Også der for at jeg er ked af at der ikke er fængselstraf og personlig bøder som en del af den nye lov.

Så den enste andet måde at få lidt retfærdighed i systemet er at hænge dem ud, og så håbe at Martin Albertsen ikke får job andre steder hvor han skal arbejde med IT, når han er fyret. Men hvis ansvaret for at der ikke er brugt penge og tid på en ordenligt sikkerhed er længere oppe, så er det jo svært at straffe kommunalbestyrelsen. Men man har jo også sin egen integritet ? :-( Men som man ser i skat, hvis man får fuld løn og pension på over en million i flere år, efter man er sendt hjem. Så kan man måske også leve med det

Jesper Hansen

Også der for at jeg er ked af at der ikke er fængselstraf og personlig bøder som en del af den nye lov.

Det vil jo bare ende med at ingen tør tage en beslutning så. Jeg kan slet ikke se hvordan det skulle fungere.

Så den enste andet måde at få lidt retfærdighed i systemet er at hænge dem ud, og så håbe at Martin Albertsen ikke får job andre steder hvor han skal arbejde med IT, når han er fyret.

Hvordan er du kommet frem til at han har skylden? Er du 100% sikker? Ellers er du godt nok ude på et sidespor, ved at hænge manden ud på den måde.

Bent Jensen

Det vil jo bare ende med at ingen tør tage en beslutning så. Jeg kan slet ikke se hvordan det skulle fungere.


Det ikke at handle er jo også en handling, som så kan give en straf.

Som det ikke at sige fra, eller tavs samtykke.

Men hvis du mener at de nuværede ansatte er ude af stand til at tage nogen lovelige beslutninger, eller beslutninger i det hele taget, så har de vis ikke det rigtige job. Eller de er ikke de rigtige til jobbet.
Mener jo ikke at mennesker ska sættes i fænges bare fordi de laver fejl. Fængsel bruges normal i slemme tilfælde.
Men en bøde og fyring uden løn, i stedet for hjem med fuld løn, eller bare forsættelse som normalt synes jeg ikke høre hjemme. Der er mange der jo kan være ramt af dette sløseri.

Bent Jensen

Hvordan er du kommet frem til at han har skylden? Er du 100% sikker? Ellers er du godt nok ude på et sidespor, ved at hænge manden ud på den måde.


Han er vel ikke hængt mere ud, end de persones data som har være frit tilgændeligt.

"Hvordan er du kommet frem til at han har skylden?"
Han står vel som den ansvarlige, men den objektive skyld, lige som kaptainen på et skib. Samt får formodeligt også en løn der svare til dette ansvar. Ellers kan man vel heller ikke agumnetere for så høj en løn, for at få de rigtige til jobbet, som de selv plejer at sige.
Så hvis man ikke har været sit arbejde voksen, så står man med ansvaret.

Jesper Hansen

Det er mange antagelser du tager dig synes jeg, i forhold til at du så skråsikkert udtaler dig om manden, og hvordan han bør straffes. Du ved dybest set intet om det virker det som - du har i hvert fald ikke præsteret at fremlægge nogen beviser for dine påstande.

Bent Jensen

Objektiv ansvar er noget man bare har, ikke noget der skal bevises.
Manden er ansvalig for databehandlingen i kommunen, om det er ham eller en af hans medarbejder som ikke har udført sit arbejde, ER LIGE MEGET.

Jesper Hansen

Og jeg spørger så igen:

Hvor har du fra at han er ansvarlig for det? Det står ikke her i nyheden (eller andre steder på v2, hvad jeg kan finde i hvert fald), det står ikke det dokument du har linket til i første post. Hvor kommer den information fra, udover dig?

Jeg er ikke nødvendigvis uenig med dig, men der skal altså nogle facts og kilder på bordet, før jeg hopper på den vogn.

Bent Jensen

Jeg er ikke nødvendigvis uenig med dig, men der skal altså nogle facts og kilder på bordet, før jeg hopper på den vogn.

Er det objektiv ansvar du ikker er med på, han er stabschef men måske det du har ret i at ansvaret også skal placeres ved Kommunaldirektør Steen Vinderslev, som har det overordnet ansvar.

Middelfart Kommunes stabschef Martin Albertsen er enig i kritikken fra Datatilsynet. Så det er sikkert begge personer vi skal pålægge ansvaret for dette.

Så det må være manden med ansvaret for området, og han har erklæret sig enig i at der er sket fejl.

http://ekstrabladet.dk/nyheder/friadgang/it-skandale-i-middelfart-handic...

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen