Kritik af kommunes it-system

Dato: 11-01-2022
Afgørelse Offentlige myndigheder Kritik Tilsyn / egendriftssag Behandlingssikkerhed

Datatilsynet udtaler kritik af, at det i it-systemet ”Affaldsweb” i visse tilfælde var muligt at tilgå oplysninger om, hvem der sidst havde redigeret eller bestilt affaldscontainere samt eventuelle kontaktoplysninger.

Journalnummer: 2021-432-0077

Resumé

På baggrund af en borgers henvendelse indledte Datatilsynet i december 2021 en sag af egen drift over for Herning Kommune.

I afgørelsen udtaler Datatilsynet kritik af, at kommunens behandling af personoplysninger via kommunens it-system ”Affaldsweb” frem til den 17. december 2021 ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.

Brugerne af ”Affaldsweb” logger ind i systemet med en unik kode på 5 cifre/tegn, som fremgår af deres ejendomsskattebillet. 

Indtil d. 17. december 2021 var det muligt for borgere, der deltes om en affaldscontainer, at tilgå oplysninger om, hvem der sidst havde redigeret eller bestilt containere samt eventuelle kontaktoplysninger, som den foregående bruger selv måtte have indtastet i ”Affaldsweb”.

Det følger også af sagen, at systemet gør det muligt at fremsøge oplysninger om en fysisk adresse samt oplysninger om containerforhold (volumen, tømningsfrekvens, pris) på denne adresse ved URL-manipulation. Brugerens unikke kode på 5 cifre/tegn indgår i URL’en og ved manuelt at ændre i den, er det således potentielt muligt at tilgå oplysninger om andre brugere.  

Datatilsynet har i den forbindelse udtalt, at en adgangsbeskyttelse baseret på en kode med 5 cifre/tegn, ikke yder passende sikkerhed mod angreb baseret på brute force og randomiserede gæt, og at brugen af fortløbende numre/bogstaver eller genkendelige sekvenser af karakterer i den URL, der benyttes til individualiseret adgang, ikke er udtryk for en passende beskyttelse.

Datatilsynet har vejledt kommunen om, at oplysninger om adresser samt containerforhold sammenholdt med øvrige identifiktatorer forholdsvist let kan få karakter af oplysninger, der er personhenførbare – altså personoplysninger.

For så vidt angår det nuværende set-up har kommunen oplyst, at behandlingen var af mindre følsom karakter, og at servicen til borgeren overstiger potentielle risici for de registreredes rettigheder.

Til dette bemærkede Datatilsynet, at alle personoplysninger er beskyttelsesværdige, og at URL-manipulation er en type af programmeringsmæssig fejlkilde, som er almindeligt kendt, og let burde imødegås af den dataansvarlige. Herudover pointerede tilsynet, at afvejningen mellem oplysningernes mindre følsomme karakter på den ene side og servicens nytteværdi på den anden side ikke kan føre til et andet resultat end, at personoplysningerne er beskyttelsesværdige.  

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Herning Kommunes behandling af personoplysninger via it-systemet: ”Affaldsweb”  frem til den 17. december 2021 ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at det frem til den 17. december 2021 har været muligt – via Herning Kommunes it-system ”Affaldsweb” – at tilgå oplysninger om, hvem der sidst har redigeret eller bestilt containere samt eventuelle kontaktoplysninger, som brugeren selv måtte have indtastet i det pågældende it-system.

Herning Kommune har til sagen oplyst, at oplysningerne har været mulige at tilgå i de situationer, hvor en affaldscontainer deles af flere borgere, og hvor brugeren har været i besiddelse af en 5 cifret kode, der har været påtrykt brugerens ejendomsskattebillet.

Derudover har Herning Kommune oplyst, at det – også uden denne kode fra ejendomsskattebilletten – har været muligt at se, hvilke affaldscontainere, der har været tilknyttet en bestemt adresse.

Endelig følger det af sagen, at systemet pr. dags dato gør det muligt at fremsøge oplysninger om en fysisk adresse samt oplysninger om containerforhold (volumen, tømningsfrekvens, pris) på denne adresse ved, at brugeren manuelt ændrer i identifikatorerne i URL-adressen.

Ved at ændre i identifikatorerne i URL-adressen er det således pr. dags dato muligt for brugere at få adgang til andre adressers containeroplysninger.

Herning Kommune har i den forbindelse anført, at kommunen har vurderet, at behandlingen er af mindre følsom karakter, da den vedrører containeroplysninger på adresser, og at servicen til borgeren overstiger potentielle risici for de registreredes rettigheder.

3. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig sikrer, at oplysninger om registrerede ikke kommer til uvedkommendes kendskab.

3.1 It-systemets sikkerhed før den 17. december 2021

På baggrund af det af Herning Kommune oplyste lægger Datatilsynet til grund, at det har været muligt for uvedkommende at tilgå oplysninger om, hvem der sidst har redigeret eller bestilt containere samt eventuelle kontaktoplysninger, som brugeren selv måtte have indtastet i det pågældende it-system frem til den 17. december 2021, i tilfælde hvor en affaldscontainer har været delt af flere borgere, og hvor brugeren har været i besiddelse af en kode med 5 cifre/tegn, der har været påtrykt brugerens ejendomsskattebillet.

Datatilsynet finder på den baggrund, at Herning Kommune ikke har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at uvedkommende har kunnet tilgå de oplysninger andre brugere har tastet ind i systemet, hvoraf andres kontaktoplysninger kan være indtastet.

Datatilsynet har endvidere lagt vægt på, at muligheden for at uvedkommende har kunnet tilgå

oplysningerne skyldes manglende tekniske foranstaltninger, der kunne forhindre andre brugere i at gøre sig bekendt med personoplysningerne. Det er Datatilsynets opfattelse, at en adgangsbeskyttelse baseret på en kode med 5 cifre/tegn, ikke yder passende sikkerhed mod angreb baseret på brute force og randomiserede gæt, herudover er brugen af fortløbende numre/bogstaver eller genkendelige sekvenser af karakterer i den URL, der benyttes til individualiseret adgang, ikke udtryk for en passende beskyttelse i adgang til personoplysninger.

3.2 It-systemets sikkerhed pr. dags dato

For så vidt angår it-systemets nuværende set-up, herunder den funktion, der gør det muligt for andre brugere – ved at ændre i identifikatorerne i URL-adressen – at fremsøge oplysninger om adresser og containerforhold (volumen, tømningsfrekvens, pris) skal Datatilsynet gøre opmærksom på databeskyttelsesforordningens definition af begrebet personoplysning, der følger af forordningens artikel 4, nr. 1.

Af databeskyttelsesforordningens artikel 4, nr. 1 følger det, at en personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

I en situation som den foreliggende, skal tilsynet henlede kommunens opmærksomhed på, at oplysninger om adresser samt containerforhold sammenholdt med øvrige identifiktatorer forholdsvist let kan få karakter af oplysninger, der er personhenførbare efter forordningens definition i artikel 4, nr. 1.

I den sammenhæng skal Datatilsynet bemærke, at det er tilsynets opfattelse, at alle personoplysninger er beskyttelsesværdige, og at URL-manipulation er en type af programmeringsmæssig fejlkilde, som er almindeligt kendt, og let burde imødegås af den dataansvarlige. Det kan ikke føre til et andet resultat, at oplysningerne anses for at være af mindre følsom karakter, eller tillægges vægt, hvad nytteværdien ved servicen er.

Datatilsynet skal derfor indskærpe, at der ikke i noget system gives direkte adgang til personoplysninger via en URL, medmindre denne har en kompleksitet og længde, der ikke let kan gættes, udledes maskinelt eller manipuleres, dette kan – for yderligere at højne sikkerheden – med fordel kombineres med flerfaktor adgangskontrol.

3.3  Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Herning Kommunes behandling af personoplysninger i it-systemet: ”Affaldsweb” frem til den 17. december 2021 ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

 

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 2, stk. 1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 4. I denne forordning forstås ved:

  • »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
  • »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

  • »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

Artikel 32. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

  1. pseudonymisering og kryptering af personoplysninger
  2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
  3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
  4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Stk. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Stk. 3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Stk. 4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).