Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre

Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre
Illustration: the_lightwriter/Bigstock.
Herning Kommune havde ikke godkendt underleverandør som databehandler.
22. januar 2020 kl. 10:46
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Leverandøren af Herning Kommunes økonomisystem, EG A/S, brugte pludselig en ny underleverandør, der »ikke kunne garantere, at personoplysninger ikke behandles i tredjelande, da ServiceNows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer«.

Det skriver Datatilsynet selv i afgørelsen, hvor tilsynet også skriver, at det var Herning Kommune selv, der anmeldte episoden til Datatilsynet, så snart man blev opmærksom på, at databehandleraftalen ikke var blevet overholdt.

Indeholdt CPR-numre

Der var altså blevet overført personoplysninger, herunder CPR-numre, til en ikke godkendt leverandør – fuldstændig uden Herning Kommunes vidende. Kritikken er derfor rettet mod EG A/S og ikke umiddelbart databehandleren Herning Kommune.

»Datatilsynet udtaler alvorlig kritik af, at databehandlerens overførsel af data til leverandøren var i strid med databeskyttelsesforordningen, hvorefter databehandlere ikke må gøre brug af databehandlere uden forudgående godkendelse fra den dataansvarlige,« skriver Datatilsynet i afgørelsen og fortsætter:

Artiklen fortsætter efter annoncen

»Ved sin udtalelse af graden af kritik lagde Datatilsynet vægt på, at der var tale om oplysninger vedrørende et højt antal registrerede, at oplysningerne omfattede personnummer, og at der var sket uhjemlet overførsel af personoplysninger til usikre tredjelande.«

Der behandles som udgangspunkt kun personoplysninger om supportbrugernes navn og e-mailadresse i Service Desk System, men der kan i systemet være andre personoplysninger, hvis disse har været en del af en supportsag, skriver Datatilsynet. Herunder CPR-numre.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger