Journalnummer: 2021-423-0235
Resumé
Gladsaxe Kommune var blandt de udvalgte kommuner, som Datatilsynet i sommeren 2021 førte tilsyn med efter databeskyttelsesreglerne.
Tilsynet fokuserede på Gladsaxe Kommunes måde at administrere adgangsrettigheder på børn og ungeområdet, herunder særligt skoleområdet. I den forbindelse undersøgte Datatilsynet, om Gladsaxe Kommune havde inddraget fratrådte medarbejderes adgangsrettigheder til kommunens elektroniske sags- og dokumenthåndteringssystem SBSYS.
Datatilsynet fandt, at Gladsaxe Kommune ikke havde handlet i overensstemmelse med reglerne om behandlingssikkerhed.
Datatilsynet lagde vægt på, at Gladsaxe Kommune ikke havde frataget en brugers adgangsrettigheder til SBSYS efter medarbejderens fratrædelse, og at kommunen ikke at have fortaget opfølgning eller kontrol af ophørte medarbejderes rettigheder.
På den baggrund udtalte Datatilsynet kritik af Gladsaxe Kommune.
1. Skriftligt tilsyn med Gladsaxe Kommunes behandling af personoplysninger
Gladsaxe Kommune var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Gladsaxe Kommunes måde at administrere adgangsrettigheder på børn og ungeområdet, herunder særligt skoleområdet, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Ved brev af 9. juni 2021 varslede Datatilsynet tilsynet med Gladsaxe Kommune. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over systemer på kommunens skoleområde, hvori der behandles oplysninger om fysiske personer.
Gladsaxe Kommune fremkom den 1. juli 2021 med en udtalelse i sagen.
På baggrund af udtalelsen valgte Datatilsynet at foretage yderligere kontrol af Gladsaxe Kommunes rettighedsstyring i kommunens ESDH-system SBSYS.
Datatilsynet anmodede den 11. august 2021 Gladsaxe Kommune om at oplyse, hvilke personoplysninger kommunen behandler i SBSYS på skoleområdet, hvordan kommunen opretter og nedlægger brugere i SBSYS, og hvordan kommunen fjerner rettigheder i systemet ved ansattes funktionsændringer. Gladsaxe Kommune fremsendte på den baggrund den 1. september 2021 en supplerende udtalelse i sagen.
Efter en gennemgang af Gladsaxe Kommunes supplerende besvarelse af 1. september 2021 anmodede Datatilsynet den 13. oktober 2021 om at modtage en liste over fratrådte medarbejdere på de enkelte skoler i 2. kvartal 2021 med henblik på Datatilsynets udvælgelse af brugere til stikprøvekontrol.
Gladsaxe Kommune fremsendte den 3. november 2021 en liste over fratrådte medarbejdere i 2. kvartal 2021 på skoleområdet.
Datatilsynet anmodede på den baggrund den 17. november 2021 Gladsaxe Kommune om dokumentation for, hvornår 13 udvalgte medarbejderes adgangsrettigheder til SBSYS blev inddraget.
Ved brev af 7. december 2021 oplyste Gladsaxe Kommune, at 12 ud af de 13 brugere ikke havde været oprettet i SBSYS, og at den ene oprettede medarbejder ikke havde adgang lang tid inden ophør.
Datatilsynet anmodede herefter ved brev af 9. marts 2022 om at modtage en liste over fratrådte medarbejdere i organisationsenhederne (på de enkelte skoler) i 4. kvartal 2021, som var oprettet i SBSYS, inden fratrædelse med henblik på Datatilsynets udvælgelse af brugere til stikprøvekontrol.
Gladsaxe Kommune besvarede den 6. april 2022 brevet.
2. Datatilsynets afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Gladsaxe Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk.1.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
3. Sagens oplysning
3.1.
Det fremgår af afsnittet om adgangsstyring i Gladsaxe Kommunes informationssikkerhedshåndbog, at det skal sikres, at adgang til kommunens it-systemer, servere, netværk, fællespostkasser, fællesdrev og pc’er begrænses gennem konkrete autorisationer. Autorisationsniveauet fastlægges på baggrund af en konkret vurdering af forretningsbetingede krav og informationernes følsomhed, og konkrete lovgivningsmæssige forpligtelser i forhold til dataadgange skal særligt iagttages. Det skal sikres, at medarbejderne kun har adgang til personoplysninger eller fortrolige data, som medarbejderen har funktionsmæssigt behov for.
Det fremgår videre af informationssikkerhedshåndbogen, at al autorisation på kommunens it-systemer, netværk, servere og øvrigt it-udstyr skal ske ved en unik og personlig brugerident. Brugeridenten skal kunne spores til den person, som er ansvarlig for en given aktivitet. Ved etablering af fælleskonti i særlige tilfælde kræves en konkret dokumenteret risikovurdering.
Følgende fremgår om tildeling af brugeradgang i informationssikkerhedshåndbogen:
”Ansvaret for tildeling af autorisationer er mellem hhv. Digitaliseringsafdelingen og systemejerne. Proceduren fastlægges af den enkelte systemejer, og tildeling af rettigheder skal altid dokumenteres.
Digitaliseringsafdelingen udarbejder en generel procedure for oprettelse, tildeling, ændring og sletning af adgang. For de enkelte systemer, postkasser, drev og anden data har ejeren ansvaret for udarbejdelse og overholdelse af procedure på baggrund af den generelle procedure, al styring af adgang skal dokumenteres.
Systemejer, postkasseejer, drevejer og dataejer kan beslutte, at autorisationer kan ske via rolleprofiler, og det er systemejerens ansvar at oprette og vedligeholde rolleprofilerne. Systemejeren har ansvar for, at rolleprofiler ikke giver adgang til data, som profilen ikke var tiltænkt.
Procedurer for autorisation af brugeradgang skal omfatte en formel autorisationsformular, i hvilken de nødvendige privilegier specificeres. Formularen kan både være i digital og analog form, ligesom formularer kan signeres elektronisk, f.eks. ved fremsendelse af formular via mail.
Ved oprettelse eller nulstilling af adgangskoder skal medarbejderen tildeles en midlertidig adgangskode, som medarbejderen skal ændre ved første anvendelse.”
Om gennemgang af brugernes adgangsrettigheder fremgår følgende:
”Der skal foretages gennemgang af brugere og deres rettigheder i alle systemer, postkasser og drev. Metoden og frekvensen skal fastlægges i en konkret risikovurdering. Frekvensen må dog ikke overstige hver 18. måned.
Gennemgange af brugerkonti iværksættes af systemejer, og opfølgninger skal dokumenteres skriftligt.
Gennemgang af om fratrådte medarbejdere har en aktiv brugerkonto skal dog altid gennemgås fuldstændigt.”
Herudover fremgår følgende om inddragelse eller justering af adgangsrettigheder:
”Når en medarbejder skifter arbejdsopgaver eller får en anden organisatorisk tilknytning, skal der ske en vurdering af medarbejderens autorisationer og adgange, så disse fortsat afspejler medarbejderens behov. Det er den oprindelige chef der har ansvaret for at rettigheder bliver nedlagt og den efterfølgende chef der har ansvaret for tildelingen.
Når medarbejderen fratræder, skal alt it-udstyr inddrages. Brugerprofiler og autorisationer deaktiveres eller slettes efter kommunens procedure for tildeling, ændring og sletning af autorisationer. Det er nærmeste leders ansvar, at der sker indberetning til de autoriserende funktioner.
Ved nedlæggelse af brugere kan der anvendes automatiserede kørsler (batch-kørsler), der med udgangspunkt i registreringer om medarbejderens ansættelsesforhold, foretager automatiserede sletninger af brugere. Brugerkonti kan inaktiveres efter et nærmere fastsat tidsrum for brugerinaktivitet, så brugeren først kan logge på efter anmodning om genaktivering. Konti, der er inaktiverede, kan slettes efter et nærmere fastsat tidsrum. I de nævnte tilfælde kræves ikke skriftlig godkendelse af brugernedlæggelsen.
I tilfælde af bortvisning, afskedigelse eller fritstilling af en medarbejder skal medarbejderens adgangsrettigheder efter en konkret vurdering og efter indstilling fra nærmeste leder inddrages omgående.
Ved orlov eller andet længerevarende fravær skal brugerens adgangsrettigheder deaktiveres, medmindre medarbejderens chef tillader at specifikke adgange skal forblive aktive.”
Det fremgår videre af informationssikkerhedshåndbogen, at al potentiel adgang til personoplysninger skal logges. Det betyder, at alle fejlede og succesfulde logins skal kunne tilknyttes en unik bruger. Adgang til logoplysninger, om Gladsaxe Kommunes brugeres adfærd skal være tilgængelig for kommunens administratorer.
3.2.
Det fremgår af sagen, at SBSYS er et ESDH-system, som Gladsaxe Kommune anvender på skoleområdet til journalisering af bl.a. handleplaner, elevplaner, referater, uddannelsesparathedsvurderinger og sagsakter mv. Gladsaxe Kommune har oplyst, at kommunen bl.a. behandler kontaktoplysninger, personnumre, helbredsoplysninger, testoplysninger og oplysninger om skoletilknytning, sociale forhold, etnicitet og strafbare forhold i SBSYS på skoleområdet.
Gladsaxe Kommune har oplyst, at på skoleområdet i kommunen er det ledere og de administrative medarbejdere på skolerne, samt skoleafdelingens medarbejdere på rådhuset som har adgang til SBSYS.
Det er den enkelte leder i organisationsenhederne (på de enkelte skoler) der evt. via en superbruger bestiller/godkender, at en medarbejder skal have adgang til SBSYS. Dette sker i praksis ved, at lederen har taget stilling til, hvilke dele af vedkommendes organisation, der skal anvende SBSYS, og hvilken rolle medarbejderne skal have i SBSYS. Disse organisationsenheder (ansættelsessteder) autoriseres således til at få adgang til SBSYS. I nogle tilfælde gælder denne adgang kun enkelte medarbejdere i en organisationsenhed, og her af det kun de relevante medarbejdere, der autoriseres til at få adgang til SBSYS – eller til en specifik rolle i SBSYS.
Gladsaxe Kommune har oplyst, at autorisationen til SBSYS forgår via Gladsaxe Kommunes AD (Active Directory). Organisationsenheder og medarbejdere synkroniseres løbende fra kommunens virtuelle organisationsdiagram GLASNOST til AD og videre ind/ud af SBSYS. Dette medfører at brugere der nedlægges i AD ikke længere har adgang til SBSYS. Det medfører endvidere at brugere der ikke har adgang til en computer på kommunens domæne heller ikke har adgang til SBSYS.
Når en brugeradgang nedlægges i SBSYS slettes brugeren ikke, men brugeren deaktiveres for at sikre gennemsigtighed i bl.a. tidligere logoplysninger.
Gladsaxe Kommune har endvidere oplyst, at selve administrationen/adgangsstyringen, dvs. tildeling og fratagelse af medlemskab i sikkerhedsgrupper og roller i SBSYS, sker via AD og foretages af en Hotline-funktion i Gladsaxe Kommunes it-afdeling. Dette sker ud fra bestillingsblanketter som udfyldes af superbrugere i forvaltningerne på den stedlige leders vegne. Via blanketterne er det alene superbrugerne der har mulighed for at bestille og afmelde rettigheder, f.eks. når brugerne skifter organisatorisk rolle. Det er den enkelte leder, der har ansvaret for, at deres medarbejdere har de korrekte roller i SBSYS, og derfor også den enkelte leders ansvar at sikre, at rettighederne alene er tildelt efter et arbejdsbetinget behov.
Når en bruger flytter organisatorisk placering, er det superbrugere i den afgivende organisationsenheds ansvar at afmelde brugerens tilknytning/rolle til gamle sikkerhedsgrupper. Det er superbrugere tilknyttet den modtagende organisationsenhed, der har ansvar for bestilling/indmelding af brugerens tilknytning/rolle ind i nye relevante sikkerhedsgrupper.
Det fremgår af sagen, at der var to ophørte medarbejdere på skoleområdet i Gladsaxe Kommune, som var oprettet i SBSYS inden fratrædelse i 4. kvartal 2021.
Det fremgår videre af sagen, at Gladsaxe Kommune på eget initiativ har undersøgt datoer for deaktivering i kommunens lønsystem og administrative AD, som bl.a. har givet adgang til SBSYS.
Gladsaxe Kommune konstaterede i den forbindelse, at brugeren [X] var deaktiveret i lønsystemet med tilbagevirkende kraft. Dette medvirkede at brugeren ikke rettidigt var nedlukket i forhold til seneste dato for ansættelse.
Gladsaxe Kommune har endvidere undersøgt, om brugeren har været aktiv i SBSYS, hvilket ikke var tilfældet.
4. Datatilsynets vurdering
Datatilsynet lægger til grund at, brugeren [X] har haft adgang til SBSYS efter medarbejderens fratrædelse.
Datatilsynet lægger endvidere til grund, at proceduren i informationssikkerhedshåndbogen om, at gennemgang af om fratrådte medarbejdere har en aktiv brugerkonto altid skal gennemgås fuldstændigt, ikke blev fulgt i det pågældende tilfælde.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at der er implementeret foranstaltninger om tildeling og fratagelse af adgangsrettigheder til systemer, således at kun brugere, der har et arbejdsbetinget behov for at have adgang til oplysningerne, autoriseres hertil.
Datatilsynet finder, at Gladsaxe Kommune – ved ikke at have frataget brugeren [X]’s adgangsrettigheder til SBSYS efter medarbejderens fratrædelse, og ved ikke at have foretaget den fornødne opfølgning eller revision af ophørte medarbejderes rettigheder – ikke har truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Det er Datatilsynets opfattelse, at der ud over en procedure for inddragelse af rettigheder ved stillingsophør, skal være en kontrolprocedure, der effektivt følger op på, om dette også er sket.
Denne kontrolprocedure skal være organisatorisk og/eller teknisk forankret, så den ikke ved en menneskelig fejl, ikke bliver gennemført
Datatilsynet finder herefter grundlag for at udtale kritik af, at Gladsaxe Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).