Syv typiske kritikpunkter Datatilsynet møder kommunerne med

Manglende databehandleraftaler er ofte blandt kritikpunkterne, når Datatilsynet kigger forbi kommunen, fremgår det af en opgørelse fra Foreningen af Kommunale it-chefer.

Foreningen af Kommunale it-chefer (KIT) har lavet en opgørelse over, hvad Datatilsynet typisk kritiserer hos kommunerne.

Kritikpunkt nummer 1 handler om manglende databehandleraftaler og utilstrækkelig kontrol af sikkerhed hos databehandleren.

»Hvis en dataansvarlig overlader behandlingen af personoplysninger til en ekstern, skal den dataansvarlige indgå en skriftlig aftale med databehandleren. Aftalen skal overholde kravene i persondatalovens §42. Den dataansvarlige har endvidere pligt til løbende at kontrollere sikkerhedsniveauet,« fremgår det af opgørelsen hos KIT.

Kritikpunkt nummer 2 handler om manglende ajourføring og årlig gennemgang af sikkerhedsregler og supplerende sikkerhedsregler.

»Dataansvarlige myndigheder skal efter sikkerhedsbekendtgørelsens §5 fastsætte interne sikkerhedsregler, som supplerer persondataloven og sikkerhedsbekendtgørelsens regler,« oplyser KIT.

Kritikpunkt nummer 3 handler om mangelfuld tilrettelæggelse og kontrol af autorisationer.

»Offentligt ansatte må kun behandle personoplysninger, som de er autoriserede til at behandle. Den enkelte autorisation må kun give ret til at behandle oplysninger, der er relevante og nødvendige for medarbejderens arbejde,« fremgår det af KIT-opgørelsen, som fortsætter:

»Derfor skal offentlige myndigheder have autorisationsordninger og it-systemer med adgangskontrol, der kun giver adgang til oplysningerne i systemet efter autorisation.«

Kritikpunkt nummer 4 handler om manglende logning.

»Offentligt ansatte må kun behandle personoplysninger, som de er autoriserede til at behandle. Den enkelte autorisation må kun give ret til at behandle oplysninger, der er relevante og nødvendige for medarbejderens arbejde,« fortæller KIT.

Kritikpunkt nummer 5 handler om manglende stikprøvekontrol af logningspligtige it-systemer i borgerservice.

»Ved flere inspektioner har Datatilsynet kritiseret, at kommunale borgerservicecentre ikke har foretaget stikprøvekontroller af autoriserede medarbejderes logninger i logningspligtige it-systemer,« fremgår det af KIT-hjemmesiden.

Kritikpunkt nummer 6 handler om manglende anmeldelse til Datatilsynet.

»Ved behandling af fortrolige oplysninger skal der typisk ske anmeldelse til Datatilsynet, inden behandlingen foretages. Bemærk, at anmeldelser skal opdateres, eksempelvis med oplysninger om nye databehandlere mv.,« oplyser KIT.

Kritikpunkt nummer 7 handler om manglende opfølgning på afviste adgangsforsøg.

I den forbindelse oplyser KIT at:

»Datatilsynet har også kritiseret en enkelt kommune og en region for manglende opfølgning på afviste adgangsforsøg i henhold til sikkerhedsbekendtgørelsens §§18. Datatilsynet udtalte, at et it-system bør lukke efter 3-5 afviste adgangsforsøg.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Mette Nikander

Det kan tilføjes, at mange kommuner (og iøvrigt også virksomheder) ikke forhindrer at medarbejdere udveksler personhenførbare data via almindelig mail. Vi har set adskillige eksempler på det fra f.eks. kommunernes socialrådgivere og jobcenter konsulenter, som tydeligevis ikke har gennemgået et tilstrækkeligt security awareness forløb og som heller ikke har opsat simple contentfiltering systemer der hindrer, at der sendes personhenførbar data i ren tekst uden om eboks etc. Desværre er Datatilsynet ikke teknisk så kompetente, som de burde være og de opdager derfor ikke de teknologiske mangler, fejlkonfigurationer og huller i sikkerheden. Med den nye persondataforordning, vil det fordres at Datatilsynet, får tilført massivt med den slags ressourcer, så forhåbentligt får det en fodnote i finansloven;-)

Med venlig hilsen Mette Nikander/C-cure

  • 0
  • 0
Log ind eller Opret konto for at kommentere