Kirken afviser ansvar for persondatabrud: Vi har forbudt Dropbox til persondata

Illustration: Peter Aaquist/Wikimedia
Datatilsynet er kommet med en afgørelse om folkekirken, efter artikler fra Version2 og Kristeligt Dagblad har dokumenteret, at Kirkeministeriet har opfordret ansatte til at bruge Dropbox og iCloud.

Rettet kl. 11:21 se nederst. Datatilsynet har afsluttet en undersøgelse af problemer med datasikkerheden i Folkekirken. Det fremgår af en ny afgørelse fra tilsynet.

Sagen tager udgangspunkt i artikler i Version2 og Kristeligt Dagblad, som fortalte om problemer med folkekirkens it-sikkerhed i 2017. Denne omtale dannede grundlag for Datatilsynets undersøgelse. Udover systematisk brug af Dropbox og iCloud nævner Datatilsynet også to sikkerhedshændelser.

Kristeligt Dagblad og Version2 omtalte dels, at uvedkommende i 2014 kunne få adgang til ansættelseskontrakter og andre personoplysninger i Ribe Stift. I september 2016 fik en uvedkommende adgang til adgangskoder til flere sogns mailkommunikation.

Læs også: Begravelsestaler lægges i Dropbox: »Det er ikke en farbar løsning«

Kirkeministeriet har bekræftet, at Dropbox og iCloud er på en liste over programmer, som må installeres på de pc’er, som er tilsluttet det lukkede netværk, Kirkenettet, under Folkekirkens It.

Datatilsynet hæfter sig dog ved, at Kirkeministeriet på folkekirkens Digitale Arbejdsplads har beskrevet, at 'der i Dropbox og iCloud kun må gemmes dokumenter og filer, der ikke indeholder personoplysninger eller andre fortrolige/følsomme oplysninger'.

Det fremgår også, at ministeriet har henvist til, at de lokale sikkerhedsansvarlige fører tilsyn med brugernes 'it-adfærd', og at man har afvist at være dataansvarlig for folkekirkens ansattes eventuelle behandling af personoplysninger i Dropbox og iCloud.

Datatilsynet har besluttet ikke at foretage sig yderligere i sagen.

To sager om dårlig it-sikkerhed

I sagen om sikkerhedshændelsen i Ribe Stift havde en supportmedarbejder hjulpet en medarbejder med at skifte pc. I den forbindelse var dokumenter lagt på et supportdrev, men sletning af filerne var efterfølgende blevet glemt. Ribe Stift blev opmærksomme på hændelsen over fire måneder senere, og derefter fjernede de dokumenterne.

Læs også: Folkekirken sender mails med persondata uden kryptering

I sagen fra 2016 var adgangskoder til sognenes administrationsmodul, sogn.dk, tilgængelige for alle brugere, der var autoriseret som kirkenetbrugere. Sikkerhedshullet gjorde det ikke muligt at se mails, men det var muligt at oprette gudstjenester og ændre åbningstider for et sogn. Sikkerhedshullet blev lukket efter kun tre timer.

Læs også: Folkekirkens It kaster om sig med admin-rettigheder

Det fremgår af afgørelsen, at Ribe Stift var dataansvarlig for hændelsen i 2014, og at de enkelte menighedsråd er dataansvarlige for de enkelte sogns eventuelle behandling af personoplysninger i administrationsmodulet på sogn.dk, så det er også her, man skal kigge for ansvaret for hændelsen i 2016.

Af en tidligere version af denne artikel fremgik det, at der ikke var fastlagt et dataansvar for de to hændelser i hhv. 2014 og 2016. Det er ikke korrekt, således som det også fremgår af sætningen lige herover.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
Per Jeppesen

Folkekirken er blot databehandler for Gud. Ansvaret er helt overordnet Guds, og da han er fejlfri pr definition, er der intet at komme efter her. Vi kunne dog opfordre (ham) til at vælge en anden databehandler for disse særdeles følsomme persondata. Det er på høje tide.

Per Hertz

Generelt kan folkekirkens ansatte opdeles i to grupper: Præster (m.v.), som er ansat direkte af kirkeministeriet, og andre ansatte, som har de lokale menighedsråd som arbejdsgiver.

Der er dermed næppe tvivl om, at kirkeministeriet er dataejer for de data, som hidrører fra præsterne (m.v.), mens jeg ville forvente, at de enkelte menighedsråd er dataejere for de data, der genereres af og bruges af øvrige ansatte.

Hvis dette er korrekt, er der god mening i, at kirkeministeriet ser sig som databehandler for sidstnævnte data (ved at stille forskellige platforme til rådighed) og ikke som dataejer.

/Hz

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder