Tilsyn med Region Midtjyllands udstedelse af adgangskort

Dato: 01-12-2021
Afgørelse Offentlige myndigheder Ingen kritik Tilsyn / egendriftssag Behandlingssikkerhed Adgangskontrol

Datatilsynet har ført tilsyn med Region Midtjyllands procedurer for udstedelse af adgangskort til de af regionens hospitaler og lokaler, hvor der behandles personoplysninger.

Journalnummer: 2021-422-0032

Resume

Region Midtjylland var blandt de myndigheder, som Datatilsynet i første halvår af 2021 førte tilsyn med.

Tilsynet var et skriftligt tilsyn, som fokuserede på Region Midtjyllands procedurer for udstedelse af adgangskort til de af regionens hospitaler og lokaler, hvor der behandles personoplysninger.

I forbindelse med behandlingen af sagen modtog Datatilsynet bl.a. Region Midtjyllands retningslinjer om tildeling og udstedelse af adgangskort.

Datatilsynet fandt, at der ikke var grundlag for at tilsidesætte regionens vurdering af, at de iværksatte procedurer for udstedelse af adgangskort udgør passende sikkerhedsforanstaltninger.

Datatilsynet lagde i den forbindelse vægt på, at Region Midtjylland benytter adgangskontrol til regionens lokaler, hvor der behandles personoplysninger, at regionen har procedurer for udstedelse og inddragelse af adgangskort, og at regionen har andre sikkerhedsforanstaltninger for at undgå, at uvedkommende får adgang til personoplysninger på regionens lokationer.

Afgørelse

1. Skriftligt tilsyn med Region Midtjyllands behandling er personoplysninger

Region Midtjylland var blandt de myndigheder, som Datatilsynet i første halvår af 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Region Midtjyllands procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger.

Ved brev af 11. juni 2021 varslede Datatilsynet tilsynet med Region Midtjylland og anmodede i den forbindelse om en udtalelse, som regionen den 2. juli 2021 fremkom med.

Datatilsynet anmodede den 14. september 2021 om en supplerende udtalelse, som Region Midtjylland den 5. oktober 2021 fremkom med.

2. Datatilsynets afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der ikke grundlag for at tilsidesætte Region Midtjyllands vurdering af, at de iværksatte procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger, udgør passende sikkerhedsforanstaltninger jf. databeskyttelsesforordningens artikel 32.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.

3. Sagens oplysning

Region Midtjylland har oplyst, at regionen har en konsolideret løsning til elektronisk adgangskontrol og produktion af adgangskort. Løsningen dækker størstedelen af regionens hospitaler, institutioner (socialområdet) og regionshuse (administration) – dog med undtagelse af Hospitalsenheden Vest, som først vil anvende løsningen fuldt ud i forbindelse med flytning til Regionshospitalet Gødstrup.

Procedurer for tildeling og udstedelse af adgangskort dokumenteres i regionens elektroniske dokumentstyringssystem til politikker, retningslinjer og instrukser. Region Midtjylland har fremsendt retningslinjer udarbejdet under den konsoliderede løsning for Aarhus Universitets Hospital, Regionshospitalet Randers, Regionspsykiatrien Randers, Hospitalsenheden Midt og Regionshospitalet Horsens. Tildeling af adgangskort til institutioner og regionshuse følger procedurerne på hospitalerne. Flere institutioner på socialområdet har desuden udarbejdet tilføjelser til den konsoliderede løsning.

Region Midtjylland har oplyst, at den konsoliderede løsning til adgangskontrol består af følgende komponenter:

X (undtaget fra offentliggørelse):

  • samtlige af regionens ansatte og tilknyttede eksterne, er registreret i X, således at de tildelte brugeradgange aktiveres og deaktiveres automatisk i takt med ansættelser og opsigelser. Herudover kan medarbejdere selv vedligeholde pinkode til nøglekort i X selvbetjening.
  • oplysninger der skal bruges til nøglekort og adgangskontrol overføres […] til Y (undtaget fra offentliggørelse). Blandt oplysningerne fra X er information om, hvad der er medarbejderens primære ansættelse. Der printes som udgangspunkt kun nøglekort på den primære ansættelse selv om medarbejdere evt. har flere ansættelser.

Y:

  • Y bruges til produktion af nøglekort og er installeret lokalt på regionsgodkendte PC’ere hos de medarbejdere, der varetager kortproduktion.
  • I Y er der oprettet en række regler som afgør, hvilke Z (undtaget fra offentliggørelse) systemer en medarbejder skal overføres til og hvilke adgangsgrupper personen skal indmeldes i automatisk.
  • Y har snitflader til de godkendte Z systemer og overfører relevante oplysninger i følgende situationer:
    • når et nyt kort printes
    • når et kort genoverføres manuelt
    • når der er opdateringer til stamdata fra X (f.eks. en ny slutdato eller organisatorisk tilknytning på medarbejdere).

Z-systemerne:

  • I den konsoliderede løsning er der godkendt fire Z systemer.
  • Y overfører oplysninger om stamdata, automatisk tildelte rettigheder og kortoplysninger.
  • Ud over de automatisk tildelte adgange kan operatørerne i de enkelte Z systemer tildele rettigheder manuelt til enkelte personer/grupper. Dette sker på baggrund af ledelsesgodkendelse.

Det fremgår generelt af de fremsendte retningslinjer om tildeling og udstedelse af adgangskort, at alle medarbejdere skal bære ID/adgangskort, når de er på arbejde.

Som standard vil adgangskortet enten være kodet til […]. Hvis en ansat har behov for adgang til andre rum skal den ansatte kontakte sin leder. Ved ansættelsesophør skal kortet afleveres til nærmeste leder.

Det fremgår endvidere generelt af retningslinjerne, at brug af ID/adgangskort logges automatisk.

Region Midtjylland har oplyst, at regionen principielt har åbne hospitaler, hvorfor visse områder er åbent for offentligheden. Områder herunder, hvor der behandles personoplysninger, er bemandet af regionens medarbejdere, som er instrueret i informationssikkerhed.

[…]

Det fremgår af Region Midtjyllands informationssikkerhedshåndbog, at systemer til adgangskontrol er et element af fysisk sikkerhed, der sikrer, at kun personer med legalt ærinde får adgang til regionens område.

Sikre områder […]. Adgang til sikrerede områder skal være aflåste og overvågede. […]

Håndværkere, reparatører, teknikere og andre faggrupper må i fornødent omfang få en arbejdsmæssig betinget adgang til Region Midtjyllands it-ressourcer. Adgangen skal dokumenteres og være tidsbegrænset. Eventuelt dispensation kan gives af regionens it-sikkerhedschef.

Det fremgår videre af informationssikkerhedshåndbogen, at oplysninger om sikre områder og deres funktion alene skal gives ud fra et arbejdsbetinget behov. Særlig opmærksomhed henledes på kontorer og andre lokaler, hvor der opbevares personoplysninger eller fortrolige informationer. […]

Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra it-afdelingen.

Det er Region Midtjyllands opfattelse, at de fremsendte retningslinjer er udtryk for regionens risikoovervejelser for styring og tildeling af adgangsrettigheder. Adgange til lokationer, hvor der behandles personoplysninger, tildeles ud fra risikobetragtninger forstået på den måde, at der kun tildeles adgang til medarbejdere, der er beskæftiget med de formål, hvortil de konkrete personoplysninger behandles eller medarbejdere der ud fra drifts eller systemtekniske hensyn har et sagligt behov for adgang. 

Region Midtjylland har oplyst, at regionen er opmærksom på, at medarbejdernes adfærd kan udgøre en særlig risiko ved manglende iagttagelse af retningslinjerne – både ved styring og tildeling af adgange samt i relation til fysisk sikkerhed generelt. For at begrænse denne risiko har regionen konstant fokus på løbende at oplyse medarbejderne om korrekt adfærd i relation til fysisk sikkerhed.

I den forbindelse har Region Midtjylland henvist til informationssikkerhedshåndbogen, hvorefter medarbejderne er instrueret i altid at logge af pc’ere og andet elektronisk udstyr, når det forlades. Udstyret er altid beskyttet af brugernavn og password uanset fysisk placering. Der ligger endvidere ikke data lokalt på regionens pc’ere. Alle pc’ere er desuden installeret med automatisk log af efter et vist tidsrum.

Det fremgår af Region Midtjyllands retningslinjer og vejledning til medarbejdere om opsætning og brug af storskærme til klinisk logistik, at som udgangspunkt må der ikke figurere personfølsomme data på skærmene, som ikke er nødvendige for opgavevaretagelsen, og oplysningerne må ikke vises for uvedkommende.

Region Midtjylland har oplyst, at regionen løbende prioriterer at gennemføre awareness aktiviteter. Regionen har henvist til en nyere awareness kampagne, hvor medarbejderne blev gjort opmærksomme på væsentlige elementer relateret til fysisk sikkerhed gennem bl.a. temaerne ”skærm af for uvedkommende” og ”hjælp gæster godt på vej”, som illustrerer risikoovervejelser i relation til den omstændighed, at der på regionens lokationer færdes mange mennesker – både medarbejdere og patienter. Region Midtjylland har desuden oplyst, at temaerne adresserer vigtigheden i at sikre, at uvedkommende ikke færdes steder, hvor de ikke bør og/eller får mulighed for uberettiget at se personoplysninger.

4. Datatilsynets vurdering

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed, jf. databeskyttelsesforordningens artikel 32, stk. 1, normalt vil indebære, at det i lokaler, hvor der behandles følsomme oplysninger, herunder helbredsoplysninger, skal sikres, at uvedkommende ikke får adgang.

Efter en gennemgang af sagen finder Datatilsynet, at der ikke grundlag for at tilsidesætte Region Midtjyllands vurdering af, at de iværksatte procedurer for udstedelse af adgangskort til regionens hospitaler og lokaler, hvori der behandles personoplysninger, udgør passende sikkerhedsforanstaltninger jf. databeskyttelsesforordningens artikel 32.

Datatilsynet har herved lagt vægt på, at Region Midtjylland benytter adgangskontrol til regionens lokaler, hvor der behandles personoplysninger, at regionen har procedurer for udstedelse og inddragelse af adgangskort, og at regionen også har andre sikkerhedsforanstaltninger for at undgå, at uvedkommende får adgang til personoplysninger på regionens lokationer, f.eks. password på regionens pc’ere, retningslinjer for brug af skærme og awarenesskurser.


[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).