Journalnummer: 2021-423-0238
Resumé
Gentofte Kommune var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen og databeskyttelsesloven.
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Gentofte Kommunes rettighedsstyring til e-mailpostkasser hvortil flere brugere har adgang, typisk kaldt afdelings- og funktionspostkasser.
Datatilsynet fandt, at Gentofte Kommune ikke havde foretaget de fornødne kontroller af, om adgangsrettighederne til kommunens afdelings- og funktionspostkasser var korrekte, hvilket ikke var i overensstemmelse med reglerne om behandlingssikkerhed.
Datatilsynet lagde vægt på, at Gentofte Kommune ved seneste kvartalvise stikprøve kun kontrollerede to postkasser ud af 564.
På den baggrund udtalte Datatilsynet kritik af Gentofte Kommune.
1. Skriftligt tilsyn med Gentofte Kommunes behandling af personoplysninger
Gentofte Kommune var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen0F0F[1] og databeskyttelsesloven1F1F[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Gentofte Kommunes rettighedsstyring i afdelings- og funktionspostkasser, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Ved brev af 10. juni 2021 varslede Datatilsynet tilsynet med Gentofte Kommune. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over kommunens afdelings- og funktionspostkasser, hvori der behandles oplysninger om fysiske personer.
Gentofte Kommune fremkom den 30. august med en udtalelse til sagen.
På baggrund af udtalelsen valgte Datatilsynet at foretage yderligere kontrol med postkasserne ”smitteopsporing@gentofte.dk” og ”Elverhoj2@gentofte.dk”.
Ved brev af 13. oktober 2021 anmodede Datatilsynet Gentofte Kommune om at fremsende en liste over, hvem der har adgang til postkasserne. Datatilsynet anmodede endvidere Gentofte Kommune om at oplyse, hvilke personoplysninger kommunen behandler i de pågældende postkasser, og hvordan til- og afgange af brugere reguleres, og hvilke kontrolforanstaltninger kommunen har for at se, om fratrådte brugere har fået fjernet adgang til postkasserne.
Gentofte Kommune besvarede den 29. oktober 2021 brevet.
Datatilsynet bad den 17. november 2021 Gentofte Kommune om at fremsende dokumentation for den seneste udførte kontrol for postkasserne ”smitteopsporing@gentofte.dk” og ”Elverhoj2@gentofte.dk”.
2. Datatilsynets afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Gentofte Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
3. Sagens oplysning
Indledningsvist har Gentofte Kommune oplyst, at behandlingsaktiviteterne som udgangspunkt finder sted i relevant fagsystem og ikke i afdelings- eller funktionspostkasser. Der kan og vil dog blive behandlet almindelige, følsomme eller fortrolige personoplysninger, herunder personnumre, i mange af postkasserne, alt afhængigt af hvilke arbejdsopgaver den enkelte afdeling/funktion har. Følsomme og fortrolige oplysninger i afdelings- og funktionspostkasser vil fortrinsvis foreligge i form af henvendelser fra borgere, virksomheder og andre myndigheder, der ønsker at komme i kontakt med kommunen.
Gentofte Kommune har fremsendt lister over kommunens afdelings- og funktionspostkasser fordelt på de respektive opgaver postkasserne benyttes i. Listen er opdelt i henholdsvis offentlige postkasser og delte postkasser, og Gentofte Kommune har oplyst, at rettighedsstyringen er den samme, men den underliggende teknologi er forskellig. Adgangen til begge typer postkasser gives ved at tilføje IT-brugernes unikke AD-konto til den enkelte postkasse. Det fremgår af listen, at der er 387 offentlige postkasser og 177 delte postkasser.
Det fremgår af Gentofte Kommunes procedure for tildeling af rettigheder til postkasser (brugeradministration), at udgangspunktet er, at medarbejdere ved ansættelse i kommunen, alene tildeles en personlig postkasse. Adgang til øvrige relevante postkasser, tildeles efter henvendelse til IT-servicedesk. Henvendelsen skal foregå digitalt via ServiceNow. Ved telefonisk henvendelse henvises til ServiceNow, da der ikke må tildeles rettigheder på baggrund af telefonisk henvendelse.
Det fremgår videre, at lederen eller en lederbemyndiget anmoder om tildeling af rettigheder via ticket i helpdesk systemet ServieNow. Lederen/lederbemyndiget skal konkretisere, hvilke postkasser medarbejderen skal have rettigheder til. En medarbejder fra brugeradministrationsteamet tildeler herefter rettigheder til de ønskede postkasser. Sagen kan også sendes til brugeradministrationsteamet via et rettighedsskema, hvori lederen/lederbemyndiget anfører, hvilke postkasser IT-brugeren skal have rettighed til. Det er endvidere ikke muligt at tildele rettigheder til sig selv, uanset om man selv er leder eller lederbemyndiget.
Gentofte Kommune har oplyst, at postkassen smitteopsporing@gentofte.dk blev oprettet som led i indgåelse af aftale med Styrelsen for Patientsikkerhed om kommunal bistand til smitteopsporing til forebyggelse af smittespredning af covid-19. Postkassen har været brugt til modtagelse af data (smitteopsporingslister) til brug for opgavevaretagelsen, herunder navn, adresse, personnummer, smitte-ID, telefonnummer og dato for positivtest. Listerne er blevet videredistribueret ad sikker kanal og derefter slettet.
Gentofte Kommune har oplyst, at otte medarbejdere, som er en del af opgaven med covid-19 smitteopsporing har adgang til postkassen.
Om postkassen elverhoj2@gentofte.dk har Gentofte Kommune oplyst, at postkassen tilhører Børnehuset Elverhøj, som er en kombineret børnehave og vuggestue. Postkassen bruges bl.a. til, at institutionen modtager besked fra pladsanvisningen om, at et barn har fået plads i institutionen, hvor forældrenes og barnets navne fremgår. Postkassen bruges også til, at forældre retter henvendelse, fordi de ønsker omvisning i institutionen. De oplyser typisk navn og telefonnummer. Herudover bruges postkassen også til uopfordrede ansøgninger, som videresendes til lederens egen mail og slettes.
Gentofte Kommune har oplyst, at to medarbejdere, der begge er ledere, har adgang til postkassen.
Herudover har Gentofte Kommune oplyst, at rettigheder til postkasser bestilles via rettighedsskema, der udfyldes af leder eller lederbemyndiget. Afgangsføring sker ved brug af sletningsformular. Begge dele håndteres af brugeradministrationsteamlet i IT-afdelingen og processenerne er beskrevet i fremsendte procedurer.
Gentofte Kommune har endvidere oplyst, at ved afgangsføring af medarbejdere deaktiveres straks adgang til mail og postkasser. Brugeradministrationsteamet foretager i henhold til nye retningslinjer kvartalvis stikprøvekontrol af postkasser, hvorved den ansvarlige leder for en postkasse, får tilsendt en oversigt over medarbejdere i den pågældende med henblik på verifikation heraf.
Hertil har Gentofte Kommune oplyst, at stikprøverne foretages med udgangspunkt i kommunens samlede antal postkasser ifølge nye retningslinjer. Status på stikprøverne var, at Gentofte Kommune i fjerde kvartal af 2021 havde gennemført kontrol af to postkasser, som var udvalgt med udgangspunkt i forventning om følsomhed i data ud fra navngivning. Postkasserne smitteopsporing@gentofte.dk og Elverhoj2@gentofte.dk var ikke udtaget til stikprøvekontrol. Gentofte Kommune har oplyst, at adgangene til postkasserne smitteopsporing@gentofte.dk og Elverhoj2@gentofte er korrekte, idet de pågældende medarbejdere alle har et tjenstligt formål med at tilgå de to postkasser.
4. Datatilsynets vurdering
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer om adgangsrettigheder til afdelings- og funktionspostkasser er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende brugers arbejdsbetingede behov.
Det er herudover Datatilsynets opfattelse, at kontrollen af adgangsrettigheder, normalt som minimum, bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at dette behov stadig er til stede og en form for auditering heraf. Såfremt auditeringen udføres som stikprøvekontroller, skal antallet af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.
Datatilsynet finder, at Gentofte Kommunes kontrolomfang i forhold til antallet af rettighedsgrupper, konkret ved ikke at foretage tilstrækkelig kontrol med adgangsrettighederne til kommunens afdelings- og funktionspostkasser – ikke har truffet passende organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at Gentofte Kommune ved seneste kvartalvise stikprøve kun kontrollerede to postkasser ud af 564.
Datatilsynet bemærker, at det er tilsynets umiddelbare vurdering, at Gentofte Kommune ikke har påvist, at det ud fra risiciene ved kommunens behandling af personoplysninger er nok med to stikprøver i kvartalet henset til antallet af postkasser i alt.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Gentofte Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet opfordrer Gentofte Kommune til at intensivere sin kontrol med rettighedsstyring i kommunens afdelings- og funktionspostkasser.
Datatilsynet har i øvrigt fundet, at Gentofte Kommunes procedurer i forbindelse med tildeling og inddragelse af rettigheder til kommunens postkasser, generelt er passende.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).