Journalnummer: 2021-423-0234.
Resume
Allerød Kommune var blandt de udvalgte kommuner, som Datatilsynet i sommeren 2021 førte tilsyn med efter databeskyttelsesreglerne.
Tilsynet fokuserede på Allerød Kommunes måde at administrere adgangsrettigheder i socialforvaltningen. I forbindelse med tilsynet bad Datatilsynet Allerød Kommune om dokumentation for udførte stikprøver i et af kommunens systemer.
Datatilsynet fandt, at Allerød Kommunes procedurer for stikprøvekontrol af loggen i socialforvaltningens systemer generelt var tilfredsstillende i forhold til risikobilledet.
Det var i den forbindelse Datatilsynets vurdering, at stikprøvekontrol hvert halve år udgør det absolutte minimum af kontrol i systemer, der behandler mange fortrolige og følsomme personoplysninger, eller hvor adgangsrettighederne er af en bredere karakter.
Datatilsynet fandt imidlertid, at kommunen i mindst et tilfælde ikke havde fulgt sine egne retningslinjer for kontrol.
Datatilsynet udtalte på den baggrund kritik af, at Allerød Kommunes behandling af personoplysninger ikke var sket i overensstemmelse med reglerne om behandlingssikkerhed.
1. Skriftligt tilsyn med Allerød Kommunes behandling er personoplysninger
Allerød Kommune var blandt de offentlige myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Allerød Kommunes måde at administrere adgangsrettigheder i socialforvaltningen, jf. databeskyttelsesforordningens artikel 32.
Ved brev af 9. juni 2021 varslede Datatilsynet tilsynet med Allerød Kommune. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over systemer i kommunens socialforvaltning, hvori der behandles oplysninger om fysiske personer, og om kommunens politikker for audit og stikprøver for uautoriserede adgangsforsøg.
Allerød Kommune fremkom den 30. juni 2021 med en udtalelse til sagen.
Den 11. august 2021 anmodede Datatilsynet Allerød Kommune om dokumentation for udførte stikprøver i et af kommunens systemer. Kommunen fremsendte på den baggrund den 31. august 2021 en supplerende udtalelse i sagen.
2. Datatilsynets afgørelse
Efter tilsynet med Allerød Kommune finder Datatilsynet anledning til sammenfattende at konkludere:
- At Allerød Kommunes procedurer for stikprøvekontrol af loggen i socialforvaltningens systemer generelt er tilfredsstillende i forhold til risikobilledet.
- At Allerød Kommune i mindst et tilfælde ikke har fulgt kommunens egne retningslinjer for kontrol.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Allerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
3. Sagens oplysning
Allerød Kommune har oplyst, at socialforvaltningen i kommunen organisatorisk er placeret i afdelingerne Borgerservice og Familier.
Det fremgår af de fremsendte lister, at socialforvaltningen benytter en række forskellige systemer, hvor der bliver behandlet almindelige personoplysninger, følsomme oplysninger og andre beskyttelsesværdige oplysninger, bl.a. personnumre.
Allerød Kommune har oplyst, at ansatte i kommunen kun må autoriseres til at have adgang til it-systemer, som de har brug for i forbindelse med deres almindelige arbejde. Når en medarbejder skal have adgang til et it-system, skal adgangen begrænses, så vedkommende kun har adgang til at se og arbejde med de sager, som er nødvendige for at kunne udføre den specifikke kerneopgave.
Cheferne for områderne er ansvarlige for at godkende brugerregistrering- og afmelding ved kommunens it-servicedesk.
Det fremgår af Allerød Kommunes retningslinjer for logning og stikprøver, at kontrol af logningspligtige systemer i Borgerservice udføres ved hjælp af stikprøver, der udtrækkes i gennemsnit hver 6. uge. Stikprøverne falder med forskellige intervaller, f.eks. 1 måned, 2½ måned, 5 måneder, 3 måneder osv., dog højst 6 måneder. Datoerne fremgår af et bilag, som kun sikkerhedsmedarbejdere har adgang til.
En stikprøve omfatter 5-6 opslag foretaget 1-3 dage før, medarbejderen anmodes om at redegøre for årsagen til opslagene.
Stikprøverne udskrives og forelægges de medarbejdere, der har foretaget opslagene. Medarbejderne noterer årsagen til opslagene. Stikprøverne og noteringerne lægges herefter til den chef, der har den største indsigt i vedkommendes arbejde. Giver det anledning til spørgsmål taler chefen med medarbejderen, ellers betragtes kontrollen som gennemført med tilfredsstillende resultat.
På baggrund af Allerød Kommunes udtalelse af 30. juni 2021 valgte Datatilsynet at foretage yderligere kontrol af kommunens stikprøveudtagning i ESDH-systemet Acadre. Datatilsynet bad derfor ved brev af 11. august 2021 Allerød Kommune om at fremsende dokumentation for udførte stikprøver i Acadre for det seneste år.
Allerød Kommune har oplyst, at alle udtræk foretages centralt af administratoren for Acadre, som organisatorisk er placeret i Sekretariatet. Ansvaret for udførelsen af kontrollen ligger hos lederen og bør udføres to gange årligt.
I den forbindelse har kommunen oplyst, at alle udtræk skal gennemgås med henblik på at kontrollere, om kommunens ansatte stadigvæk har adgange, som er nødvendige for, at de kan udføre deres arbejde – og ikke mere end det.
Allerød Kommune har endvidere oplyst, at på grund af Covid-19 situationen er der ikke foretaget stikprøver i perioden fra den 25. september 2020 frem til den 13. august 2021, og normal drift vil blive genetableret fra september 2021.
Det fremgår af den fremsendte stikprøvekontrol i Acadre for Borgerservice og Familier, at Allerød Kommune den 24. juni 2020, 25. september 2020 og 13. august 2021 har foretaget kontrol af loggen af 3-9 medarbejderes visning af bl.a. sager og dokumenter i Acadre.
4. Datatilsynets vurdering
Datatilsynet lægger til grund, at Allerød Kommune generelt foretager logning af anvendelser af personoplysninger i kommunens it-systemer, herunder i systemet Acadre.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, og at der er implementeret foranstaltninger om tildeling og fratagelse af adgangsrettigheder, således at kun brugere, der har et arbejdsbetinget behov for at have adgang til oplysningerne, autoriseres hertil.
Datatilsynet finder ikke grundlag for at tilsidesætte Allerød Kommunes vurdering af, at stikprøvekontrol sker to gange om året.
Det er dog Datatilsynets opfattelse, at stikprøveudtagning hvert halve år udgør det absolutte minimum af kontrol, i systemer der behandler mange fortrolige og/eller følsomme oplysninger, eller hvor adgangsrettighederne er af en bredere karakter.
Datatilsynet lægger efter det oplyste til grund, at Acadre er et system med disse typer af oplysninger.
Tilsynet lægger herudover i overensstemmelse med Allerød Kommunes egen forklaring herom til grund, at der ikke har været udført stikprøvekontrol i systemet Acadre i perioden 25. september 2020 til 13. august 2021.
Datatilsynet finder, at Allerød Kommune – ved ikke at have ført kontrol med loggen i Acadre i mere end seks måneder – ikke har truffet passende organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at Allerød Kommune har fortaget kontrol den 24. juni 2020, den 25. september 2020 og den 13. august 2021.
Det faktum at medarbejderne har været hjemsendt og arbejdet hjemmefra under Covid-19 situationen, kan ikke føre til en anden vurdering af, at der skulle ske kontrol minimum hvert halve år.
Datatilsynet finder det i øvrigt påfaldende, at Allerød Kommune har foretaget den seneste kontrol to dage efter tilsynets brev af 11. august 2021, hvor tilsynet anmodede om dokumentation for udførte stikprøver i Acadre for det seneste år.
Datatilsynet har noteret sig, at normal drift er genetableret fra september 2021.
5. Konklusion
Efter tilsynet med Allerød Kommune finder Datatilsynet anledning til sammenfattende at konkludere:
- At Allerød Kommunes procedurer for stikprøvekontrol af loggen i Socialforvaltningens systemer generelt er tilfredsstillende i forhold til risikobilledet.
- At Allerød Kommune i mindst et tilfælde ikke har fulgt kommunens egne retningslinjer for kontrol.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Allerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).