Alvorlig kritik af Mariagerfjord Kommune

Dato: 15-07-2022
Afgørelse Offentlige myndigheder Alvorlig kritik Påbud Tilsyn / egendriftssag Adgangskontrol Behandlingssikkerhed Grundlæggende principper Logning Password Risikovurdering og konsekvensanalyse

På baggrund af et tilsyn med særligt fokus på modenhed på sikkerhedsområdet udtaler Datatilsynet alvorlig kritik af Mariagerfjord Kommune.

Journalnummer: 2022-423-0261

Resume

Datatilsynet gennemførte i juni måned et tilsyn med Mariagerfjord Kommune. Formålet med tilsynet var bl.a. at foretage en overordnet vurdering af kommunens modenhed i forhold til databeskyttelse, herunder navnlig på sikkerhedsområdet.

På baggrund af tilsynet fandt Datatilsynet grundlag for at udtale:

  • alvorlig kritik af, at Mariagerfjord Kommune havde opbevaret personoplysninger ud over, hvad der var nødvendigt i forhold til formålet, og ved ikke at have indført retningslinjer eller tilsvarende organisatoriske foranstaltninger for sletning af personoplysningerne i tilfælde, hvor tekniske foranstaltninger ikke var muligt.
  • alvorlig kritik af, at Mariagerfjord Kommune ikke havde truffet passende sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger.

Datatilsynet udsteder påbud

På baggrund af tilsynet har Datatilsynet fundet grundlag for at meddele Mariagerfjord Kommune påbud om, at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger, at slette personoplysninger, hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne og at udarbejde en plan for hvordan kommunen i samarbejde med kommunens systemleverandører kan få slettet personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare.

Datatilsynet har også fundet anledning til at meddele Mariagerfjord Kommune påbud om at fjerne medarbejderes rettigheder til at installere programmer og eksekvere skadelig kode mv. på de computere og devices, der kan tilsluttes kommunens netværk.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 11. maj 2022 varslede et fysisk tilsynsbesøg hos Mariagerfjord Kommune.

Tilsynet fokuserede på Mariagerfjord Kommunes efterlevelse af databeskyttelsesforordningens[1] artikel 5 og 32, med udgangspunkt i kommunens svar af 10. september 2021 i tilsynets modenhedsanalyse og kommunens udtalelse af 19. januar 2022.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Mariagerfjord Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra e og artikel 32, stk. 1.

Datatilsynet finder endvidere grundlag for at meddele Mariagerfjord Kommune påbud om:

  • at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger. Listen skal indeholde oplysninger om, hvorvidt det enkelte system kan slette, og i givet fald hvordan, og hvilke slettefrister der er for det pågældende system.
  • at slette personoplysninger, som har overskredet de af Mariagerfjord Kommune fastsatte slettefrister, og hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne, i det omfang personoplysningerne kan slettes manuelt eller automatisk,
  • at udarbejde en plan for hvordan Mariagerfjord Kommune i samarbejde med kommunens systemleverandører kan få slettet personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare.

Fristen for efterlevelse af påbuddet er den 15. november 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Samtidig finder Datatilsynet endvidere grundlag for at meddele Mariagerfjord Kommune påbud om at fjerne medarbejderes rettigheder til at installere programmer og eksekvere skadelig kode mv. på de computere og devices, der kan tilsluttes kommunens netværk.

Fristen for efterlevelse af påbuddet er den 15. august 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Påbuddene meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Som led i Datatilsynets løbende tilsynsvirksomhed, der bl.a. udøves gennem stikprøvekontrol, blev Mariagerfjord Kommune den 9. juli 2021 varslet om, at kommunen var udvalgt til et planlagt tilsyn.

Tilsynet blev i første omgang gennemført som en spørgeskemaundersøgelse. Formålet med tilsynet var bl.a., at Datatilsynet kunne foretage en overordnet vurdering af kommunens modenhed i forhold til databeskyttelse, herunder navnlig på sikkerhedsområdet. I forlængelse af de afgivne svar ville Datatilsynet eventuelt anmode om dokumentation, stille yderligere spørgsmål, iværksætte yderligere stikprøvekontroller eller varsle et fysisk tilsynsbesøg.

Mariagerfjord Kommune besvarede den 10. september 2021 spørgeskemaet. Efter en gennemgang af kommunens svar konstaterede Datatilsynet, at kommunen for en række spørgsmål oplyste, at aktiviteterne ikke var, eller kun var delvist gennemførte.

Datatilsynet anmodede på den baggrund den 8. december 2021 kommunen om at fremsende et årshjul over alle aktiviteter, som på tidspunktet for besvarelsen af spørgeskemaundersøgelsen var planlagt eller delvist implementeret. Mariagerfjord Kommune besvarede den 27. januar 2022 brevet.

Datatilsynet anmodede ved brev af 4. februar 2022 om en supplerende udtalelse i sagen, som Mariagerfjord Kommune besvarede den 15. marts 2022.

På baggrund af Mariagerfjord Kommunes besvarelse af spørgeskemaet og kommunens udtalelser af 27. januar 2022 og 15. marts 2022 varslede Datatilsynet den 11. maj 2022 et tilsynsbesøg hos Mariagerfjord Kommune.

Tilsynsbesøget hos Mariagerfjord Kommune blev gennemført den 7. juni 2022.

2.1. Mariagerfjord Kommunes bemærkninger

Mariagerfjord Kommune har oplyst, at kommunen ikke har lavet egentlige skemaer over trusler og konsekvenser, men at kommunen har været ude i de enkelte forvaltninger og inddraget erfaringerne og observationerne herfra i risikoarbejdet.

Det fremgår af Mariagerfjord Kommunes besvarelse af spørgeskemaet, at kommunen kun delvist har implementeret to-faktor-autentifikation ved adgang til systemer og databaser, hvor der opbevares og behandles personoplysninger.

Mariagerfjord Kommune har på tilsynsbesøget oplyst, at multifaktor-autentifikation vil være implementeret fra det nye år.

Mariagerfjord Kommune har om kontrol af adgangsrettigheder oplyst, at kontrol sker ved en manuel proces. Kommunen har ca. 300 systemer med personoplysninger, og databeskyttelsesrådgiveren sender halvårligt en liste over systemer, hvori der skal udføres kontrol af autorisationer til systemejerne, hvorefter de har ca. 6 uger til at føre kontrol med, at medarbejderne som er tildelt adgange til systemerne har de korrekte rettigheder.

I den forbindelse oplyste Mariagerfjord Kommune desuden, at så snart en medarbejder ikke længere er ansat (afgangsføres i lønsystemet) fratages dennes adgange til både netværk og de fagsystemer, der styres via kommunens IdM. Hvis medarbejdere skifter afdeling i lønsystemet fratages rettighederne ligeledes, når ændringerne i ansættelsen sker i lønsystemet.

Mariagerfjord Kommune har oplyst, at kommunen ikke generelt har indført systematisk logopfølgning, men at kommunen fører stikprøvevis kontrol af log på administratorerne. Kommunen har primært brugt logs, hvis der har været en grund, f.eks. ved mistanke om misbrug eller ved revisionskontroller.

Mariagerfjord Kommune har endvidere oplyst, at der på baggrund af en risikovurdering er truffet en ledelsesmæssig beslutning om, at medarbejdere har rettigheder til at installere programmer på egne devices, og at medarbejderne bliver mødt med en pop-up besked, som advarer medarbejderen, inden programmet hentes.

Herudover har Mariagerfjord Kommune oplyst, at mange af kommunens systemer ikke er gearet til automatisk sletning, og kun få systemer understøtter andet end sletning på enkeltpost niveau i databasen. Der er ofte tale om oplysninger, som ligger langt tilbage, og kommunen har ikke alternativer til systemerne. Kommunen har forgæves været i kontakt med leverandørerne af systemerne. Mariagerfjord Kommune oplyste desuden, at der er systermer, der alene understøtter manuel sletning, men hvor der ikke sker sletning.   

3. Begrundelse for Datatilsynets afgørelse

3.1.

Datatilsynet lægger –  i overensstemmelse med det af Mariagerfjord Kommune forklarede – til grund, at kommunen behandler personoplysninger som skulle have været slettet, men hvor sletning ikke er sket, enten fordi systermerne ikke understøtter sletning, eller fordi de kun understøtter manuel sletning, og hvor en sådan manuel sletning ikke er sket. Datatilsynet lægger herudover til grund, at Mariagerfjord Kommune ikke har et samlet overblik over hvilke systemer, hvori der sker en sådan behandling.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Datatilsynet finder, at Mariagerfjord Kommune – ved at have opbevaret personoplysninger ud over, hvad der var nødvendigt i forhold til formålet, og ved ikke at have indført retningslinjer eller tilsvarende organisatoriske foranstaltninger for sletning af personoplysningerne, der hvor tekniske foranstaltninger ikke var muligt – ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Datatilsynet bemærker, at en manglende systemteknisk understøttelse ikke kan føre til, at princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e, tilsidesættes.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Mariagerfjord Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Datatilsynet finder endvidere grundlag for at meddele Mariagerfjord Kommune påbud om:

  • at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger. Listen skal indeholde oplysninger om, hvorvidt det enkelte system kan slette, og i givet fald hvordan, og hvilke slettefrister der er for det pågældende system.
  • at slette personoplysninger, som har overskredet de af Mariagerfjord Kommune fastsatte slettefrister, og hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne, i det omfang personoplysningerne kan slettes manuelt eller automatisk,
  • at udarbejde en plan for hvordan Mariagerfjord Kommune i samarbejde med kommunens systemleverandører kan få slettet personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 15. november 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.

3.2. Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for.

Det er desuden Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer, om brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende bruger.

Det er herudover Datatilsynets opfattelse, at kontrollen af adgangsrettigheder, normalt som minimum, bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at dette behov stadig er til stede og en form for auditering heraf. Såfremt auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

Det er endvidere Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige ved oprettelse af fjernadgange til it-systemer, hvor der behandles

følsomme og fortrolige personoplysninger, skal have implementeret foranstaltninger til verifikation, som certifikat, multifaktorlogin eller anden tilsvarende foranstaltning til verifikation. Dette er særligt relevant, hvor adgangen skabes fra et netværk, som ikke er undergivet den dataansvarliges kontrol.

Herudover er det Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at medarbejdere ikke har rettigheder til at installere programmer på egne mobile enheder og computere, der har adgang til det netværk hvor produktionsdata tilgås, da muligheden for lokal eksekvering kan give et unødigt angrebspunkt for uautoriseret adgang, ransomwareangreb og installation af bagdøre eller anden skadelig kode.

Datatilsynet finder på ovenstående baggrund, at Mariagerfjord Kommune – ved ikke at udføre kontrol af logoversigter, ved ikke at have implementeret multifaktor-autentifikation eller andet ekstra lag af verifikation, og ved ikke at have begrænset medarbejdernes rettigheder til at installere programmer ned på deres devices – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Mariagerfjord Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Samtidig finder Datatilsynet endvidere grundlag for at meddele Mariagerfjord Kommune påbud om at fjerne medarbejderes rettigheder til at installere programmer og eksekvere skadelig kode mv. på de computere og devices, der kan tilsluttes kommunens netværk.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 15. august 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. 

Datatilsynet skal endvidere henstille, at Mariagerfjord Kommune kontrollerer adgangsrettigheder til kommunens systemer med personoplysninger med en hyppigere frekvens end hvert halve år, og at Mariagerfjord Kommune fører stikprøvekontrol med logoplysninger.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).