Kolding Kommune havde ikke truffet passende tekniske og organisatoriske foranstaltninger

Dato: 22-04-2020

Datatilsynet udtaler alvorlig kritik af Kolding Kommune, da manglende kontrolforanstaltninger og medarbejdernes adgang til personoplysninger ikke udgjorde passende tekniske og organisatoriske foranstaltninger.

Journalnummer: 2019-442-4365

Resume

Datatilsynet har behandlet en sag, hvor Kolding Kommune siden 2012 har behandlet dokumenter indeholdende personoplysninger i omkring 400.000 sager uden at træffe passende tekniske og organisatoriske foranstaltninger. Tilsynet udtaler derfor alvorlig kritik af Kolding Kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Kolding Kommune har benyttet et ESDH-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret herom. Dokumenterne, der under normale forhold alene kunne tilgås gennem ESDH-systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, såfremt man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev i øvrigt ikke logget.

Kolding Kommune har fået foretaget årlige revisioner af et udvalg af de benyttede it-systemer. Af revisionsberetningerne fremgår, at kommunens overordnede styring af it-sikkerheden inden for regnskabsområdet er tilfredsstillende. Revisionerne omfattede ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af dokumenter og integritet af netværksinfrastrukturen eller procedurerne for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sådanne foranstaltninger.

De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var ikke opsat anden kontrol heraf. Set i lyset dette og henset til den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne, var der ikke truffet passende tekniske og organisatoriske foranstaltninger.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets udtalelse. 

1. Udtalelse

Kolding Kommune har den 30. september 2019 anmeldt et brud på persondatasikkerheden.

Da hændelsen i denne sag går tilbage til 2012, skal Datatilsynet indledningsvis oplyse, at persondataloven pr. 25. maj 2018 er blevet ophævet og erstattet af databeskyttelsesforordningen og databeskyttelsesloven. Denne afgørelse er derfor truffet efter reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Kolding Kommune ikke har behandlet personoplysninger med passende tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Kolding Kommune anvender ESDH-systemet Acadre og har gjort det i adskillige år. Kommunen har oplyst, at der i systemet findes omkring 400.000 sager, og at sagernes dokumenter opbevares på et netværksdrev. Sagerne omfatter borgersager, familiesager, personalesager, ejendomssager, emnesager mv.

I forbindelse med en opgradering i 2012 foretog en af Kolding Kommunes leverandører en ændring i rettighedsstyringen, således at netværksdrevet – og dermed den direkte adgang til sagernes dokumenter – blev åbnet for ca. 2.400 ansatte. En sådan direkte adgang til dokumenterne uden om Acadre blev i øvrigt ikke logget.

Kolding Kommune var efter det oplyste ikke blevet informeret af leverandøren om den pågældende ændring.

Ved en scanning af netværket den 17. september 2019 konstaterede Kolding Kommune, at der var uautoriseret adgang til det pågældende netværksdrev. Der blev umiddelbart herefter lukket for den uautoriserede adgang.

Kolding Kommune har over for Datatilsynet oplyst, at det var ikke muligt at konstatere fejlen under daglig brug, da brugerne i forvejen have adgang til dokumenterne gennem Acadre, at der ikke forud for scanningen den 17. september 2019 var blevet udført intern scanning af netværket efter åbne fildrev, og at scanning efter åbne drev på netværket fremover vil være en del af GDPR-årshjulet og kommunens arbejde med implementering af ISO27000 og ISO27701.

Det fremgår endvidere af sagen, at Kolding Kommune i 2016, 2017 og 2018 fik udført revisioner af revisionsfirmaet BDO. Revisionerne var primært relateret til generelle it-kontroller og it-systemer af betydning for kommunens regnskabsføring og regnskabsaflæggelse og omfattede således ikke direkte Acadre eller kommunens it-infrastruktur som helhed.

Der fremgår således bl.a. følgende af BDO’s revisionsberetning for 2018 om revision af kommunens interne it-kontroller, herunder forespørgsler vedrørende databeskyttelseslovgivningen (afsnit 8.1):

”Vi har ikke udført revision med henblik på at sikre, at kommunen overholder databeskyttelseslovgivningen, men vi har forespurgt kommunen med henblik på at opnå et overblik over området og for at sikre, at der ikke er overtrædelser, der vil have en væsentlig påvirkning på kommunens årsregnskab.”

Af samme revisionsberetning fremgår der endvidere i relation til revision af omfanget af kommunens interne it-kontroller (afsnit 9.1) følgende:

”Revisionen har omfattet revision af kommunens generelle it-kontroller og udvalgte applikationskontroller for de it-systemer, der har betydning for kommunens regnskabsføring og regnskabsaflæggelse.

Vi har tilrettelagt revisionen efter et rotationsprincip således, at ikke alle områder revideres i samme omfang hvert år. I 2018 har revisionen omfattet følgende områder:

  • Procedurer og kontroller for anskaffelse, ændring og vedligeholdelse af kommunens centrale økonomistyringssystem.
  • Adgangssikkerhed til økonomistyringssystem, lønsystem og sikkerhedssystemet KSP-CICS, herunder brugeradministration, brugerrettigheder, adgangskontrol og systemadministration.
  • Adgangssikkerhed ved adgang til serverrum.
  • Outsourcing af centrale it-systemer, herunder kommunens egne kontroller samt indhentelse og vurdering af revisorerklæringer fra it-serviceleverandører.

Revisionen har desuden omfattet krav i henhold til bekendtgørelse om kommunernes budget- og regnskabsvæsen, revision mv. i forhold til it-anvendelsen samt elementer af forvaltningsrevision inden for it-organisation, it-politikker og it-risikovurderinger. Endvidere har revisionen omfattet en opfølgning på konstaterede kontrolmangler fra sidste år.”

Som konklusion på det udførte arbejde (afsnit 9.2) fremgår det af revisionsberetningen, at:

”Det er vores opfattelse, at kommunen i alle væsentlige henseender har implementeret hensigtsmæssige interne it-kontroller, der medvirker til at opretholde informationernes integritet og sikkerheden af data, som it-systemerne behandler i forhold til regnskabsføringen og regnskabsaflæggelsen. Endvidere er det vores opfattelse, at kommunens overordnede styring af it-sikkerheden inden for de gennemgåede områder er tilfredsstillende.”

Kolding Kommune har i tilknytning hertil bl.a. tilkendegivet, at det er kommunens opfattelse, at revisionen tegner et retvisende og generelt billede af kommunens sikkerhedsniveau, idet økonomisystemerne er en integreret del af den samme infrastruktur, som understøtter Acadre.

3. Begrundelse for Datatilsynets udtalelse

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at dataansvarlige og databehandlere under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Som eksempel på relevante foranstaltninger fremhæves der i bestemmelsen bl.a. evne til at sikre vedvarende fortrolighed og procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed, jf. artikel 32, stk. 1, litra b og litra d.

Det er i forlængelse heraf Datatilsynets opfattelse, at det følger af kravet om passende sikkerhed, jf. artikel 32, stk. 1, at det for bl.a. kommuner er særligt relevant, at der er etableret procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Datatilsynet har herved lagt vægt på, at kommuner behandler store mængder personoplysninger om mange registrerede (borgere og ansatte), herunder også særlige kategorier af personoplysninger, jf. artikel 9, og at risikoen for de registrerede generelt må antages at være høj ved tab af f.eks. fortrolighed.

Periodisk kontrol (revision) skal efter omstændighederne også omfatte kontrol af en organisations centrale it-infrastruktur, herunder servere, netværk og anden it-infrastruktur, som understøtter adgangen til primære administrative systemer, som f.eks. ESDH-systemer, andre kritiske sagsbehandlingssystemer og økonomisystemer. Det skal i tilknytning hertil bemærkes, at manglende periodisk kontrol (revision) efter Datatilsynets opfattelse indebærer en unødig høj risiko for, at utilstrækkelige eller mangelfulde sikkerhedsforanstaltninger ikke identificeres rettidigt.

I forhold til det anmeldte brud på persondatasikkerheden har Datatilsynet noteret sig, at dokumenterne på Kolding Kommunes ESDH-dokumentserver utilsigtet har været tilgængelige for kommunens medarbejdere i en periode på ca. 7,5 år uden om kommunens ESDH-system, Acadre, at dokumenterne dermed har været tilgængelige uden adgangsstyring og logning, og at kommunen blev bekendt med den utilsigtede adgang i forbindelse med en intern kontrol.

Datatilsynet har endvidere noteret sig, at Kolding Kommune i hvert fald for årene 2016, 2017 og 2018 har fået foretaget ekstern revision af de it-kontroller (og til dels databeskyttelsen), der vil have en væsentlig påvirkning på kommunens årsregnskab.

På baggrund af det materiale, der er modtaget fra Kolding Kommune, lægger Datatilsynet til grund, at Kolding Kommune ikke har gennemført – eller har haft procedurer for – regelmæssig afprøvning, vurdering og evaluering af de etablerede foranstaltninger i relation til kommunens it-infrastruktur med henblik på at etablere et passende sikkerhedsniveau i forhold til at sikre fysiske personers rettigheder og frihedsrettigheder.

Datatilsynet finder således, at der er grundlag for at udtale alvorlig kritik af, at Kolding Kommune ikke har behandlet personoplysninger med passende tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

I forlængelse af ovenstående skal Datatilsynet bemærke, at de afgivne revisionsberetninger – hvoraf det fremgår, at kommunes overordnede styring af it-sikkerheden inden for regnskabsområdet er tilfredsstillende – særligt henset til revisionernes scope, ikke ændrer på tilsynets vurdering af, at kommunen ikke har haft de fornødne kontrolprocedurer for sikre de registreredes rettigheder.

Datatilsynet har noteret sig, at Kolding Kommune fremover bl.a. vil foretage scanning efter åbne drev på netværket som en del af GDPR-årshjulet og kommunens arbejde med implementering af ISO27000 og ISO27701.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere.