Tilsyn med Køge Kommunes rettighedsstyring i Aula

Dato: 18-01-2022
Afgørelse Offentlige myndigheder Kritik Tilsyn / egendriftssag Adgangskontrol Behandlingssikkerhed

Journalnummer: 2021-423-0239

Resumé

Køge Kommune var blandt de udvalgte kommuner, som Datatilsynet i sommeren 2021 førte tilsyn med efter databeskyttelsesreglerne.

Tilsynet fokuserede på Køge Kommunes måde at administrere adgangsrettigheder på børn og ungeområdet, herunder særligt skoleområdet. I den forbindelse undersøgte Datatilsynet Køge Kommunes rettighedsstyring i Aula.

Datatilsynet fandt, at Køge Kommunes kontrol med brugernes rettigheder i Aula ikke var i overensstemmelse med reglerne om behandlingssikkerhed.

Datatilsynet lagde vægt på, at Køge Kommune ikke havde haft systematiske kontroller, og at kommunen ikke havde ført kontrol med andre brugere end medarbejderes adgange til Aula.

På den baggrund udtalte Datatilsynet kritik af Køge Kommune.

1. Skriftligt tilsyn med Køge Kommunes behandling er personoplysninger

Køge Kommune var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Køge Kommunes måde at administrere adgangsrettigheder på børn og ungeområdet, herunder særligt skoleområdet, jf. databeskyttelsesforordningens artikel 32.

Ved brev af 9. juni 2021 varslede Datatilsynet tilsynet med Køge Kommune. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over systemer på kommunens skoleområde, hvori der behandles oplysninger om fysiske personer.

Køge Kommune fremkom den 30. juni 2021 med en udtalelse til sagen.

På baggrund af besvarelsen valgte Datatilsynet at foretage yderligere kontrol af Køge Kommunes rettighedsstyring i Aula.

Datatilsynet anmodede den 11. august 2021 Køge Kommune om at redegøre for, hvordan kommunen sikrer, at brugernes rettigheder i Aula afspejler rettighedsbegrænsninger i underliggende systemer. Kommunen fremsendte på den baggrund den 1. september 2021 en supplerende udtalelse i sagen.

2. Datatilsynets afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Køge Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.

3. Sagens oplysning

Køge Kommune har oplyst, at KMD Educa Personale og KMD Educa Elev sikrer rettighedsbegrænsning i Aula.

Indmeldelse, ændringer og fratrædelse af lærere administreres af ledelsen på den enkelte skole og sker udelukkende i KMD Educa Personale. Her administreres også hvilke elever på hvilket klassetrin den enkelte lærer har adgang til. Styring af brugeradgange i Aula sker udelukkende i KMD Educa Personale.

KMD Educa Personale administreres af en medarbejder i Skoleafdelingen. Tildeling af rettigheder i KMD Educa Personale sker via Køge Kommunes brugerautorisations blanket, hvor nærmeste leder har godkendt medarbejderens adgang.

Alle autorisationsblanketter arkiveres i Køge Kommunes ESDH-system e-Doc.

I forbindelse med tildeling af rettigheder til nye medarbejdere gemmeføres kontrol af eksisterende medarbejdere med rettigheder. Medarbejderen i Skoleafdelingen sender den relevante skoleleder en mail med oversigt over aktuelle medarbejdere med rettigheder og beder denne bekræfte, at den fortsat er retvisende. Der føres endvidere log over oprettelse og nedlæggelse af brugerrettigheder.

Køge Kommune har oplyst, at eleverne indskrives på skolerne via www.indskrivning.dk og tilknyttes klasse/hold, hvorved de oprettes i Uni-login. Samtidig oprettes og tilknyttes kontaktpersoner til eleven, hvis de har forældremyndighed. Herefter er det den enkelte skoles administration, der har ansvaret for om data om elever, forældre/værger, personale og eksterne er korrekt registreret i KMD Educa. Skolens administration vedligeholder løbende disse data, når brugerne henholdsvis begynder og forlader skolen. Når brugerne er oprettet korrekt i KMD Educa, bliver data automatisk hver eftermiddag eksporteret til Styrelsen for It og Lærings Uni-login database, SkoleGrunddata. Dermed vil brugerne dagen efter være tilknyttet skolen og brugerne har adgang til de centrale systemer med deres Uni-login.

Køge Kommune har endvidere oplyst, at skolens administration kan modtage advis med afgørelser fra andre myndigheder, der kan have stor betydning for den registrerede (eleven). Administrationen sikrer, at elevens oplysninger står korrekt, og ændrer i opsætningen af elevens data, hvis der er behov herfor. Alle ændringer registreres i KMD Educa Elev. Hver aften kl. 21.00 opdateres data i Aula. Skolens administration kontrollerer den efterfølgende dag, at ændringen er slået igennem.

Herudover har Køge Kommune oplyst, at Aula har endnu et lag af brugerstyring, der skal sikre, at ikke alle har adgang til alle områder i systemet.

Der er to typer af administratorer, der har rettigheder til at sikre, at ikke alle har adgang til alle områder i systemet: kommunaladministrator og institutionsadministrator.

Kommunale administrator er typisk en medarbejder i Skoleafdelingen. Der er i Køge Kommune to medarbejdere, der har rollen som kommunal administrator. Én for skoleområdet og én for daginstitutionsområdet. Rollen giver adgang til alle områder af Aula på tværs af alle institutioner.

Institutionsadministrator rollen gives automatisk til skolelederen for den enkelte skole. Skolelederen kan herefter tildele det administrative personale på skolen rettighedsniveauer afhængig af, hvilken rolle det administrative personale på skolen skal have.

Køge Kommune har afslutningsvist oplyst, at kommunen har nedsat en arbejdsgruppe, der skal hjælpe skolerne med arbejdet med i højere grad at implementere og dokumentere systematiske kontroller:

  • skolens personale (hver 6. måned) i KMD Educa Personale
  • institutionsadministrator (hver 3. måned) i Aula
  • specialopsætning af elever og personale dokumenteres og kontrolleres, når der tilgår skolen meddelelse om ændringer. Det kan f.eks. være navne- og adressebeskyttelse, forældremyndighed mv. Elever og personale med specialopsætning kontrolleres i KMD Educa hver 6. måned.

I den forbindelse har Køge Kommune oplyst, at arbejdsgruppen arbejder med en deadline den 1. januar 2022, hvor disse yderligere kontroller vil være fuldt ud implementeret.

4. Datatilsynet vurdering

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer om brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende bruger, og at rettighederne afspejler rettighedsbegrænsninger i underliggende systemer.

Datatilsynet lægger efter det oplyste til grund, at i forbindelse med tildeling af rettigheder til nye medarbejdere gennemføres kontrol af eksisterende medarbejdere med rettigheder ved, at Skoleafdelingen sender den relevante skoleleder en oversigt over aktuelle medarbejdere med rettigheder og beder skolelederen bekræfte, at den fortsat er retvisende.

Datatilsynet finder, at Køge Kommune – ved ikke at have haft systematiske kontroller f.eks. med faste tidsintervaller eller baseret på stikprøver med brugernes rettigheder i Aula – ikke har truffet passende organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at kontrol ved tildeling af rettigheder til nye medarbejdere ikke er systematisk, og at kommunen ikke har haft kontroller med andre brugere end medarbejderes adgange til Aula, f.eks. forældres.

Datatilsynet finder herefter grundlag for at udtale kritik af, at Køge Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har noteret sig, at Køge Kommune har nedsat en arbejdsgruppe, der skal hjælpe skolerne med at implementere og dokumentere systematiske kontroller af skolens personale, institutionsadministrator og specialopsætning af elever og personale.

Datatilsynet har endvidere noteret sig, at de yderligere kontroller vil være fuldt ud implementeret den 1. januar 2022.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).