Rettet kl. 11:21 se nederst. Datatilsynet har afsluttet en undersøgelse af problemer med datasikkerheden i Folkekirken. Det fremgår af en ny afgørelse fra tilsynet.
Sagen tager udgangspunkt i artikler i Version2 og Kristeligt Dagblad, som fortalte om problemer med folkekirkens it-sikkerhed i 2017. Denne omtale dannede grundlag for Datatilsynets undersøgelse. Udover systematisk brug af Dropbox og iCloud nævner Datatilsynet også to sikkerhedshændelser.
Kristeligt Dagblad og Version2 omtalte dels, at uvedkommende i 2014 kunne få adgang til ansættelseskontrakter og andre personoplysninger i Ribe Stift. I september 2016 fik en uvedkommende adgang til adgangskoder til flere sogns mailkommunikation.
Kirkeministeriet har bekræftet, at Dropbox og iCloud er på en liste over programmer, som må installeres på de pc’er, som er tilsluttet det lukkede netværk, Kirkenettet, under Folkekirkens It.
Datatilsynet hæfter sig dog ved, at Kirkeministeriet på folkekirkens Digitale Arbejdsplads har beskrevet, at 'der i Dropbox og iCloud kun må gemmes dokumenter og filer, der ikke indeholder personoplysninger eller andre fortrolige/følsomme oplysninger'.
Det fremgår også, at ministeriet har henvist til, at de lokale sikkerhedsansvarlige fører tilsyn med brugernes 'it-adfærd', og at man har afvist at være dataansvarlig for folkekirkens ansattes eventuelle behandling af personoplysninger i Dropbox og iCloud.
Datatilsynet har besluttet ikke at foretage sig yderligere i sagen.
To sager om dårlig it-sikkerhed
I sagen om sikkerhedshændelsen i Ribe Stift havde en supportmedarbejder hjulpet en medarbejder med at skifte pc. I den forbindelse var dokumenter lagt på et supportdrev, men sletning af filerne var efterfølgende blevet glemt. Ribe Stift blev opmærksomme på hændelsen over fire måneder senere, og derefter fjernede de dokumenterne.
I sagen fra 2016 var adgangskoder til sognenes administrationsmodul, sogn.dk, tilgængelige for alle brugere, der var autoriseret som kirkenetbrugere. Sikkerhedshullet gjorde det ikke muligt at se mails, men det var muligt at oprette gudstjenester og ændre åbningstider for et sogn. Sikkerhedshullet blev lukket efter kun tre timer.
Det fremgår af afgørelsen, at Ribe Stift var dataansvarlig for hændelsen i 2014, og at de enkelte menighedsråd er dataansvarlige for de enkelte sogns eventuelle behandling af personoplysninger i administrationsmodulet på sogn.dk, så det er også her, man skal kigge for ansvaret for hændelsen i 2016.
Af en tidligere version af denne artikel fremgik det, at der ikke var fastlagt et dataansvar for de to hændelser i hhv. 2014 og 2016. Det er ikke korrekt, således som det også fremgår af sætningen lige herover.
