Journalnummer: 2021-423-0237
Resume
Odsherred Kommune var blandt de udvalgte kommuner, som Datatilsynet i sommeren 2021 førte tilsyn med efter reglerne om databeskyttelse.
Tilsynet fokuserede på Odsherred Kommunes måde at administrere adgangsrettigheder på børn og ungeområdet, herunder særligt skoleområdet. I den forbindelse undersøgte Datatilsynet Odsherred Kommunes rettighedsstyring i det studieadministrative system Tabulex TEA.
Datatilsynet fandt, at Odsherred Kommunes kontrol med brugernes rettigheder i Tabulex TEA ikke var i overensstemmelse med reglerne om behandlingssikkerhed.
Datatilsynet lagde vægt på, at Odsherred Kommune ikke forud for tilsynet havde sikret sig, at brugernes rettigheder, og dermed adgange til personoplysninger, i Tabulex TEA var nødvendige og relevante til de pågældende brugeres arbejdsbetingede behov.
På den baggrund udtalte Datatilsynet kritik af Odsherred Kommune.
1. Skriftligt tilsyn med Odsherred Kommunes behandling af personoplysninger
Odsherred Kommune var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Odsherred Kommunes måde at administrere adgangsrettigheder på børn- og ungeområdet, herunder særligt skoleområdet, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Ved brev af 9. juni 2021 varslede Datatilsynet tilsynet med Odsherred Kommune. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over systemer på kommunens skoleområde, hvori der behandles oplysninger om fysiske personer.
Odsherred Kommune fremkom den 7. juli 2021 med en udtalelse til sagen.
På baggrund af besvarelsen valgte Datatilsynet at foretage yderligere kontrol af Odsherred Kommunes brug af systemet Tabulex TEA.
Datatilsynet anmodede den 10. august 2021 Odsherred Kommune om at redegøre for, hvordan kommunen opretter og nedlægger brugere i Tabulex TEA, og om kommunen udfører kontroller af brugernes rettigheder. Kommunen fremsendte på den baggrund den 20. august 2021 en supplerende udtalelse i sagen.
Odsherred Kommunes supplerende udtalelse gav Datatilsynet anledning til at anmode om en yderligere udtalelse ved brev af 13. oktober 2021, som kommunen besvarede den 2. december 2021.
2. Datatilsynets afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Odsherred Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.
3. Sagens oplysning
Odsherred Kommune har oplyst, at i IST/Tabulex TEA/Trio bliver tildeling af rettigheder givet af en administrator i forvaltningen. Den centrale administrator kan tildele forskellige rettighedsniveauer til skolesekretærerne. Det er også den centrale administrator som kan fjerne rettighederne.
Al indmeldelse og udmeldelse af elever og personale i Odsherred Kommunes skoler administreres i skolernes elevadministrationssystem IST Tabulex TEA/Trio af skolesekretærerne.
Det fremgår af sagen, at der i systemet Tabulex TEA/TRIO/SFO bliver behandlet alle oplysninger fra CPR-registeret, kontaktoplysninger samt institutionstilknytning gældende for både medarbejdere, forældre og elever, samt evt. plejeforældre eller øvrige kontakter, f.eks. bostedsmedarbejdere eller bedsteforældre.
Odsherred Kommune har oplyst, at det primært er skolesekretærer og administrativt personale, der har adgang til Tabulex TEA, og at en bruger primært oprettes som standardbruger med adgang til sin egen skole. Alle brugere skal skifte password hver 6. måned.
En administrativ medarbejder i skoleforvaltningen gennemgår 1-2 gange om året alle brugere og sletter de brugere, der ikke længere er ansatte. Fremover vil medarbejderen også tjekke, at alle brugeres rettigheder er nødvendige og relevante. Odsherred Kommune har oplyst, at kommunen ikke tidligere har udført kontrol af, om alle brugeres rettigheder er nødvendige og relevante.
4. Datatilsynets vurdering
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer om brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende brugers arbejdsbetingede behov.
Datatilsynet har – i overensstemmelse med Odsherred Kommunes egen forklaring herom – lagt til grund, at Odsherred Kommune ikke før tilsynets henvendelse har udført kontrol af, om alle brugeres rettigheder er nødvendige og relevante.
Datatilsynet finder, at Odsherred Kommune – ved ikke at sikre at brugernes rettigheder i Tabulex TEA er nødvendige og relevante – ikke har truffet passende organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet finder grundlag for at udtale kritik af, at Odsherred Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har noteret sig, at Odsherred Kommune fremover i forbindelse med gennemgang 1-2 gange om året af, at fratrådte brugere slettes også vil tjekke, at alle brugeres rettigheder er nødvendige og relevante.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).