Datatilsynet udtaler alvorlig kritik: Underleverandør kunne ikke garantere sikker opbevaring af CPR-numre

Illustration: the_lightwriter/Bigstock
Herning Kommune havde ikke godkendt underleverandør som databehandler.

Leverandøren af Herning Kommunes økonomisystem, EG A/S, brugte pludselig en ny underleverandør, der »ikke kunne garantere, at personoplysninger ikke behandles i tredjelande, da ServiceNows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer«.

Det skriver Datatilsynet selv i afgørelsen, hvor tilsynet også skriver, at det var Herning Kommune selv, der anmeldte episoden til Datatilsynet, så snart man blev opmærksom på, at databehandleraftalen ikke var blevet overholdt.

Indeholdt CPR-numre

Der var altså blevet overført personoplysninger, herunder CPR-numre, til en ikke godkendt leverandør – fuldstændig uden Herning Kommunes vidende. Kritikken er derfor rettet mod EG A/S og ikke umiddelbart databehandleren Herning Kommune.

»Datatilsynet udtaler alvorlig kritik af, at databehandlerens overførsel af data til leverandøren var i strid med databeskyttelsesforordningen, hvorefter databehandlere ikke må gøre brug af databehandlere uden forudgående godkendelse fra den dataansvarlige,« skriver Datatilsynet i afgørelsen og fortsætter:

»Ved sin udtalelse af graden af kritik lagde Datatilsynet vægt på, at der var tale om oplysninger vedrørende et højt antal registrerede, at oplysningerne omfattede personnummer, og at der var sket uhjemlet overførsel af personoplysninger til usikre tredjelande.«

Der behandles som udgangspunkt kun personoplysninger om supportbrugernes navn og e-mailadresse i Service Desk System, men der kan i systemet være andre personoplysninger, hvis disse har været en del af en supportsag, skriver Datatilsynet. Herunder CPR-numre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere