Journalnummer: 2021-442-13989
Resume
Datatilsynet har truffet afgørelse i en sag, hvor Syddansk Universitet har anmeldt et brud på persondatasikkerheden.
Syddansk Universitet (SDU) anvender et HR-system, hvor ansatte kan tildeles en rolle, så de kan få adgang til ansøgninger. I forbindelse med en softwareopdatering blev systemets rettighedsstyring imidlertid nulstillet, hvilket betød, at alle ansatte på Syddansk Universitet fik se-adgang til ansøgningerne. Ifølge SDU betød dette, at i alt 7011 ansatte havde haft potentiel adgang til at tilgå ansøgninger fra i alt 417 ansøgere. Ud af disse havde ca. 400 ansatte et adgangsbetinget behov for at kunne tilgå personoplysninger i HR-systemet. Universitet førte endvidere ikke log på adgangen til ansøgningsmaterialet og kunne derfor ikke identificere, hvad der var blevet tilgået.
Utilstrækkelig testning
Universitet havde ikke udført en tilstrækkelig testning af softwareopdateringen inden den blev implementeret i produktionssystemet, og opdagede derfor først den ændrede rettighedsstyring .
SDU bemærkede i sagen, at de ikke havde kendskab til, at opdateringen ville foretage en ændring i rollestyringen og af den grund ikke havde mulighed for at udføre en 14 dages test på testsystemet, der ellers var praksis.
Datatilsynet konstaterede, at den dataansvarlige som led i udvikling og tilpasning af it-løsninger til behandling af personoplysninger, skal teste en løsning med henblik på at kunne identificere og vurdere forhold, der f.eks. kan føre til ændring eller nulstilling af tidligere valgte indstillinger. Dette er særligt væsentligt, når der er tale om en grundlæggende funktion som rettighedsstyring.
Den dataansvarliges ansvar kan ikke bortfalde, blot fordi softwareleverandøren ikke fyldestgørende har oplyst om opdateringens omfang.
På den baggrund udtalte Datatilsynet alvorlig kritik.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Syddansk Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Syddansk Universitet har den 5. august 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af sagen, at Syddansk Universitet anvender et HR-system, hvor ansatte kan tildeles en rolle, således at de kan få adgang til ansøgninger. I forbindelse med en opdateringen af produktionssystemet blev rettighedsstyringen sat til default-indstillinger, hvormed alle ansatte på Syddansk Universitet fik se-adgang til ansøgningerne.
Syddansk Universitet har om deres rettighedsstyring oplyst, at ansatte tildeles en standardrolle og kan få tilføjet en rolle til ansættelses- og bedømmelsesudvalg. Herudover er det muligt at få tilføjet yderligere roller i forbindelse med ansættelsesprocedurer og adgangsstyring. Adgang blev foretaget i henhold til hver enkelt ansættelsesproces. Det følger af sagen, at personer med de specifikke roller ansættelsesleder, medlem af ansættelsens komite og medlem bedømmelseskomite alle havde fuld adgang til at se ansøgninger fra alle opslag.
I forbindelse med den ene af de fire standardkvalopdateringer af HR-systemet, blev rettighedsstyringen fejlagtigt sat til default-indstillinger. Hermed blev den forhenværende styring af rettigheder ophævet. Resultatet af dette var, at samtlige ansatte på Syddansk Universitet fik adgang til at se ansøgninger, der før var forbeholdt ansatte tildelt den adgangsgivende rolle. Ifølge Syddansk Universitet betød dette, at i alt 7011 ansatte havde haft potentiel adgang til at tilgå ansøgninger fra i alt 417 ansøgere. Ud af disse havde ca. 400 ansatte et adgangsbetinget behov for at kunne tilgå personoplysninger i HR-systemet.
Syddansk Universitet har til sagen oplyst, at de ikke har foretaget test på testsystemet inden opdateringen trådte i kraft. Dette begrundes med, at SDU ikke havde kendskab til, at opdateringen ville foretage en ændring i rollestyringen. I og med, at SDU ikke var vidende om dette, havde de ikke mulighed for at udføre en 14 dages test på testsystemet, der ellers var praksis. SDU bemærker videre, at Oracle – som leverer softwaren og udfører opdateringen – ikke i deres skrivelser har givet besked om, at opdateringen ville føre til ændringerne i rollerne og deres tilknyttede funktioner.
Det fremgår af sagen, at Syddansk Universitet ikke fører log på se-adgang. SDU har herved ikke mulighed for at kontrollere om nogen ansatte uretmæssigt har tilgået de pågældende ansøgninger. I tillæg hertil har Syddansk Universitet ikke undersøgt om adgangen til de berørte personoplysninger er blevet udnyttet i perioden. Det er SDUs vurdering, at oplysningerne har en ringe udnyttelsesgrad og at sandsynligheden for, at de er blevet tilgået er lille. SDU anfører videre, at det på den baggrund er svært at undersøge, om nogen har udnyttet den viden, de har fået ved at kigge på ansøgningerne.
Syddansk Universitet har til sagen oplyst, at hændelsen har haft sin begyndelse i uge 29 (2021). Hændelsen blev konstateret den 2. august 2021 af SDUs egen IT-tekniker og afsluttet den 5. august 2021. De berørte personoplysninger udgøres – foruden selve ansøgningsmaterialet – af navn, kontaktoplysninger, personnumre og helbredsoplysninger. Universitet har oplyst, at helbredsoplysningerne har været begrænset til de af relevans for en ansøgningsproces. Syddansk Universitet har underrettet de registrerede den 1. marts 2022.
Det fremgår af sagen, at Syddansk Universitet, ved hver efterfølgende kvartalsopdatering, vil køre test på testsystemet inden kvartalsopdateringen køres på produktionssystemet. Dette er for at sikre, at adgangen – som i denne sag – ikke fejlagtigt gives igen.
Syddansk Universitet konstaterer afslutningsvist, at de arbejder på processen omkring køb af IT-systemer og håndteringen af sikkerhedsbrud på baggrund af denne sag. De agter videre at implementere bedre instruktioner omkring ansøgers eksklusion af personnumre i deres ansøgninger.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Syddansk Universitet oplyste til grund, at 7011 ansatte i 14 dage har haft uautoriseret adgang til 417 ansøgeres personoplysninger, herunder bl.a. selve ansøgningsmaterialet, personnumre og helbredsoplysninger. Datatilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at man som dataansvarlig skal sikre, at oplysninger om registrerede, herunder særligt beskyttelsesværdige oplysninger, ikke kommer til uvedkommendes kendskab.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at dataansvarlige som led i udvikling og tilpasning af it-løsninger til behandling af personoplysninger skal sikre, at løsningen testes med henblik på at identificere forhold, som kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Det er endvidere Datatilsynets opfattelse, at det påhviler den dataansvarlige at have foretaget en vurdering af de behandlinger, der sker ved de potentielle ændringer, herunder f.eks. nulstilling eller ændring af rettighedsadgange, på baggrund af en kommende software-opdatering. Det er Datatilsynets opfattelse, at det af Syddansk Universitet anførte om Universitetets manglende kendskab til opdateringens indhold og omfang, ikke kan føre til et andet resultat.
Datatilsynet finder på ovenstående baggrund, at Syddansk Universitet – ved ikke at have testet kvartalsopdateringen inden endelig implementering i produktionssystemet – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved universitetets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Syddansk Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at en funktion – i form af rettighedsstyring, der helt grundlæggende afgør, hvem der har adgang til personoplysninger – skal underkastes en sådan opfølgning, der sikrer, at den dataansvarlige er ajourført med, hvilke konsekvenser en kommende opdatering kan og vil medføre. Dette er grundlæggende forudsætning for en tilstrækkelig testning af opdatering og mulighed for at mitigere eventuelle identificerede problematikker, inden den endelige implementering. Datatilsynet har endvidere lagt vægt på, at Syddansk Universitet ikke fører logs på se-adgang af ansøgningsdokumenter og herved ikke kan identificere om personoplysninger er blevet udnyttet.
Herudover har Datatilsynet lagt vægt på, at et stort antal ansatte har haft adgang til 417 registreredes ansøgningsmateriale, bl.a. personnumre og helbredsoplysninger. Særligt for interne ansøgere udgør en sådan adgang en forhøjet risiko.
Datatilsynet har af formildende omstændigheder lagt vægt på, at Syddansk Universitet har medvirket til sagens opklaring og ved konstateringen af bruddet på persondatasikkerheden, hurtigt fik implementeret foranstaltninger, der begrænsede eksponeringen af oplysninger. Herudover har tilsynet lagt vægt på, at Syddansk Universitet har generelle retningslinjer for test inden endelig implementering af opdateringer, og hændelsens begrænsede varighed.
Datatilsynet har noteret sig, at Syddansk Universitet agter at foretage en test på testsystemet ved hver efterfølgende kvartalsopdatering inden denne køres på produktionssystemet. Datatilsynet skal herudover indskærpe, at Syddansk Universitet fremadrettet egenhændigt opsøger viden om konsekvenserne af fremtidige opdateringer, også til trods for, at software-leverandøren selv har bibragt mere eller mindre fyldestgørende informationer.
3.2. Sammenfatning
Datatilsynet finder, at der er grundlag for at udtale alvorlig kritik af, at Syddansk Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).