Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Utilstrækkelig sikkerhed i løsningen EASY-P

Brevdato: 24.04.17

Journalnummer: 2015-311-0491

1. Datatilsynet vender hermed tilbage til sagen, hvor tilsynet ved brev af 7. september 2015 anmodede Styrelsen for It og Læring (herefter ’STIL’) om en udtalelse i forbindelse med, at klager K [navn og adresse udeladt] ved e-mails af 13. og 20. august 2015 har klaget til Datatilsynet over sikkerheden i løsningen EASY-P, som efter det oplyste er et administrationssystem til praktikdelen af erhvervsskolerne.

Efter anmodning fra Datatilsynet er STIL kommet med udtalelser i sagen. K har haft lejlighed til at kommentere disse.

2. Datatilsynet må lægge til grund:

  • at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt ”Værktøjssiden”, blot man havde adgang fra K’s uddannelsesinstitutions åbne trådløse netværk – dette kan bl.a. tilgås udenfor skolen på kommunale stier,
  • at det endvidere var muligt at tilgå størstedelen af funktionaliteten i EASY-P blot ved at fjerne ”secure” fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,
  • at der bl.a. indgik et menupunkt benævnt ”CPR-Søgning”, som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt
  • at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.

Det af STIL anførte om, at der ikke var adgang fra det åbne internet, og at K – efter styrelsens opfattelse – foretog en uautoriseret handling, ændrer efter Datatilsynets opfattelse ikke på, at sikkerheden i løsningen var utilstrækkelig.

Det er således Datatilsynets opfattelse, at STIL’s behandling af personoplysninger i EASY-P ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3. Datatilsynet finder dette kritisabelt.

3. STIL har i sagen beskrevet forskellige skridt, som styrelsen har foretaget i forhold til sikkerheden omkring EASY-P.

Datatilsynet skal opfordre STIL til også at undersøge – i det omfang det ikke allerede er sket – om det ved hjælp af logfiler er muligt at afdække, om sikkerhedsbristen har været udnyttet til uvedkommende adgang til personoplysninger i EASY-P eller CPR, såfremt CPR-opslag via løsningen sker direkte i CPR.

Efter Datatilsynets umiddelbare vurdering må der endvidere tages initiativer til at indrette løsningen således, at der ikke er adgang til at foretage CPR-opslag på personer, der ikke går på erhvervsskolerne.

Datatilsynet har i øvrigt noteret sig, at EASY-systemet lukkes i sommeren 2018.

4. Datatilsynet skal anmode om en tilbagemelding fra STIL på den undersøgelse og de initiativer, som tilsynet har omtalt under punkt 3. Styrelsens svar bedes være tilsynet i hænde senest den 19. maj 2017.

Datatilsynet beklager den samlet set lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.

Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre denne afgørelse på sin hjemmeside. Det vil ske uden angivelse af K’s navn.

 

 

 

_____________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

Relaterede emneord og paragraffer

§ 41, Adgangsbegrænsning, Cpr, Kritisabelt, Sikkerhed

Afgørelser efter emneord:


Fritekstsøgning i afgørelser