Journalnummer: 2023-423-0006.
Resumé
Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.
”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.
Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.
Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.
Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.
Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA.
Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.
Konsekvensanalyse
Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.
Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.
De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.
Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.
Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik. Datatilsynet har udtalt kritik overfor den tredje kommune.
Risikovurdering
Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.
Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.
De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.
Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.
Risiko for fejlfremsendelse i AULA
Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.
Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder.
Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.
Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.
Fælles konsekvensanalyse og adfærdskodeks
Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.
I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.
Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.
Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.
Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.
”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.
1. Skriftligt tilsyn med Esbjerg Kommune vedrørende it-systemet AULA
Esbjerg Kommune er blandt de kommuner, som Datatilsynet i efteråret 2021 udvalgte til at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.
Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.
2. Afgørelse
Efter en samlet vurdering finder Datatilsynet, at Esbjerg Kommune ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger udgør for de registrerede.
Datatilsynet finder derudover, at den samlede dokumentation, herunder risikovurderingen, ikke er tilstrækkelig underbygget med henblik på at påvise, at Esbjerg Kommune har nedbragt risikoen til at være lav og sikret et passende beskyttelsesniveau i forhold til de risici for de registrerede, som behandlingen af personoplysninger i AULA indebærer.
På den baggrund finder Datatilsynet, at Esbjerg kommune ikke har godtgjort, at risikoen ved behandlingen af personoplysninger i AULA er nedbragt til at være lav. Det er således Datatilsynets vurdering, at Esbjerg Kommune ikke i fuldt tilstrækkeligt omfang har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.
Datatilsynet udtaler derfor kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.
Det er derudover Datatilsynets vurdering, at Esbjerg Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a-d. Datatilsynet finder derudover, at Esbjerg Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA 10 måneder efter, at det har stået klart, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.
På den baggrund finder Datatilsynet endvidere grundlag for at udtale kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
3. Sagsfremstilling
Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Esbjerg Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:
- De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
- I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
- En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
- En gennemgang af autorisations- samt adgangsstyringsmodeller.
Esbjerg Kommune er den 3. november 2021 fremkommet med en udtalelse til sagen samt en række bilag. Derudover har Esbjerg Kommune fremsendt yderligere materiale den 1. december 2021, som ved en fejl ikke var fremsendt sammen med kommunens udtalelse.
Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Esbjerg Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.
Datatilsynet har herefter ved brev af 6. december 2022 stillet en række uddybende spørgsmål til Esbjerg Kommune i forhold til eventuelle mitigerende foranstaltninger, kommunen har truffet. Kommunen har besvaret disse spørgsmål den 12. december 2022.
3.1. Generelt om beslutning og udvikling af AULA
Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3] Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.
KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT, i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet Aula i samarbejde med firmaerne Frog, EduLab og Advice.
KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4]
Datatilsynet lægger til grund, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]
3.2. Esbjerg Kommunes bemærkninger
3.2.1. Risikovurdering
Esbjerg Kommune har fremsendt seks risikovurderinger og oplyst, at det er risikovurderinger af kommunens fortegnelser over behandlingsaktiviteter. Datatilsynet forstår på materialet, at risikovurderingerne vedrører behandlingsaktiviteter, der beskrevet i kommunens fortegnelse over behandlingsaktiviteter efter artikel 30 i databeskyttelsesforordningen i forhold til kommunens skoler og dagtilbud. Tre af risikovurderingerne ses at vedrøre behandling af personoplysninger i forhold til kommunens dagtilbud, og de øvrige tre risikovurderinger vedrører behandling af personoplysninger i forhold til kommunens folkeskoler. Datatilsynet forstår i øvrigt på materialet, at der er tale om risikovurderinger, der generelt vedrører behandlingen af personoplysninger i forhold til kommunens folkeskoler og dagtilbud.
Der er for hvert område en risikovurdering i forhold til henholdsvis fortrolighed, integritet og tilgængelighed. Datatilsynet kan konstatere, at kommunen i materialet har vurderet, at de identificerede risici er kategoriseret som ”lille” eller ”meget lille”.
I risikovurderingen med fokus på fortrolighed vedrørende behandling af personoplysninger i forhold til kommunens folkeskoler er det vurderet, at konsekvensen for de registrerede i tilfælde af brud på fortrolighed udgør en begrænset konsekvens, og at sårbarheden er kategoriseret som ”lav/mindre sandsynligt”, og at risikoen herfor dermed er lille. Der er beskrevet et scenarie om, at en ansat kommer til at sende oplysninger om en elev til en forkert modtager ved en fejl, og at der kan være tale om almindelige, følsomme og fortrolige personoplysninger.
I risikovurderingen er der herefter foretaget en vurdering af konsekvensen, sårbarheden og restrisikoen i forhold til spørgsmål om, hvad sandsynligheden er for, at registrerede vil blive udsat for forskellige kategorier af konsekvenser. Der er tale om følgende kategorier af konsekvenser: Diskrimination eller forskelsbehandling, økonomiske konsekvenser, identitetstyveri eller -svig, fysisk skade, mental/psykisk skade, skade på materielle genstande og skade på omdømmet eller andre sociale konsekvenser. Datatilsynet kan konstatere, at Esbjerg Kommune i forhold til alle disse kategorier af konsekvenser vurderer, at brud på fortrolighed medfører en begrænset konsekvens, at sårbarheden vurderes at være lav/mindre sandsynlig, og at risikoen er meget lille.
Esbjerg Kommune har derudover oplyst, at KOMBIT har lavet risikovurderingerne for AULA. Til deres besvarelse har Esbjerg Kommune bl.a. vedlagt disse risikovurderinger.
På baggrund af en stikprøvevis gennemgang har Datatilsynet konstateret, at det vedlagte materiale fra KOMBIT generelt fastslår, at en række behandlingsaktiviteter, der foretages i AULA indebærer en høj risiko for de registrerede. Det fremgår endvidere af materialet, at det er forventet/sandsynligt, at en række scenarier vil indtræde, som indebærer konsekvenser, der er kategoriseret som ”ødelæggende” eller ”meget alvorlige”.
Det fremgår f.eks. risikovurderingen for beskedmodulet i AULA, at de har identificeret 10 trusler, hvoraf tre af dem er mest sandsynlige. De tre trusler er markeret som rød, og Datatilsynet forstår på materialet, at KOMBIT vurderer, at der er tale om høje risici.
Den ene af truslerne vedrører brugeradfærd, der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. Konsekvensen ved tab af fortrolighed er kategoriseret som ”ødelæggende”, og det fremgår bl.a., at børn kan lide væsentlig skade på omdømme, der kan føre til sociale tab. Sandsynligheden er kategoriseret som ”forventet”, og det fremgår bl.a. i den forbindelse, at det er forventet, at der vil være tilfælde, hvor en bruger fejlagtigt får sendt en besked med personoplysninger til en eller flere brugere. F.eks. ved at de sender til en gruppe.
En anden af truslerne vedrører utilsigtet procesfejl, der medfører forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Det er nærmere beskrevet som læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Det fremgår, at årsagen her til er, at følsomme personoplysninger (fx besked vedrørende et barn sygdom/helbred) kan tilgås eller ændres af uautoriserede internt, og at registrerede eksponeres internt for uautoriserede.
Det fremgår videre, at registrerede eksponeres på en måde som skader de sociale relationer, såvel internt blandt kollegaer/elever. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at det er brugere, der skal klassificere data og menneskelige fejl er forventet. Som eksempel fremgår det, at det er muligt for en bruger at sende en besked med følsomme personoplysninger uden opmærkning som ”følsom besked” med deraf følgende lavere sikkerhed.
Den tredje trussel vedrører utilsigtet procesfejl, hvor der er forkerte adgange grundet manglende eller uklare politikker. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Der er i materialet angivet den samme beskrivelse af konsekvensen som ved forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at alle kommuner skal tildele rettigheder til mange brugere/grupper, hvorfor fejl må forventes. Som eksempel fremgår det, at en gruppe kan have medlemmer, der ikke længere hører til gruppen og som ikke er fjernet fra gruppen.
Esbjerg Kommune ses imidlertid ikke at have forholdt sig til, hvad KOMBIT’s risikovurderingsmateriale konkret har givet Esbjerg Kommune anledning til som dataansvarlig.
På den baggrund har Datatilsynet bedt Esbjerg Kommune oplyse, om de har truffet mitigerende foranstaltninger med det formål at nedbringe risikoen for de registrerede. Hvis Esbjerg Kommune ikke har truffet mitigerende foranstaltninger har Datatilsynet bedt Esbjerg Kommune oplyse tilsynet om, hvad der er baggrunden herfor er.
Esbjerg Kommune har herefter henvist til kommunens redegørelse for deres overvejelser i forhold til databeskyttelsesforordningens artikel 25 samt autorisations- og adgangsstyringsmodeller i deres første høringssvar til Datatilsynet. Det fremgår bl.a. heraf, at der i Esbjerg Kommune ikke anvendes ”sikre filer” i AULA. Specifikke oplysninger om det enkelte barn fremgår af systemet Hjernen&Hjertet, som medarbejdere har adgang til. Forældre har ikke adgang til Hjernen&Hjertet men får via Forældreportalen i digitalpost tilsendt information.
Esbjerg Kommune har i øvrigt i den forbindelse fremsendt deres konsekvensanalyse, som ved en fejl ikke var fremsendt tidligere. Det fremgår af konsekvensanalysen, at Esbjerg Kommune har identificeret 33 sikkerhedskontroller, der kan nedbringe risikoen og konsekvensen for de registrerede.
Det fremgår af konsekvensanalysens konklusion, at der er en høj konsekvens for de registrerede, hvis der skulle ske et brud på sikkerheden. Det fremgår videre, at kommunen derefter har vurderet, hvilke trusler som kan udgøre en risiko for brud på sikkerheden og derpå udløse konsekvenserne for de registrerede. Kommunen har herefter identificeret 33 sikkerhedskontroller, der kan nedbringe risikoen og konsekvensen for de registrerede. Esbjerg Kommune har oplyst i konsekvensanalysen, at implementeringen og det fortsatte arbejde med sikkerhedskontroller medfører, at den generelle risiko er vurderet til at være lav.
Esbjerg Kommune har i konsekvensanalysen vurderet, at risikoen er nedbragt til en værdi på 4 (lav) fra en værdi på 25 (høj) på baggrund af trussels- og risikovurderingerne samt de indførte sikkerhedsforanstaltninger. Det fremgår, at vurderingskriterierne herfor er "Oplysningernes følsomhed", "Indskrænket handlefrihed" og "Teknologiens potentiale til at krænke privatlivet", som siger noget om styrken eller intensiteten af en potentiel krænkelse for de registrerede. De to sidste vurderingskriterier er "Identificeringspotentialet" og "Størrelsen på brugergruppen", som Esbjerg Kommune beskriver har en begrænset selvstændig betydning, men at det har den egenskab, at de forstærker konsekvensen af de brud, som de tre øvrige vurderingskriterier forårsager.
Det fremgår af Esbjerg Kommunes konsekvensanalyse, at kommunen har identificeret en række trusler ved behandling af personoplysninger i AULA og foretaget en vurdering af, hvor stor en risiko de udgør i forhold til de registrerede. Derudover har Esbjerg Kommune for hver af de identificerede trusler oplistet en række foranstaltninger (kontroller), der skal nedbringe risikoen. Endelig har kommunen vurderet risikoen efter disse foranstaltninger.
Det fremgår bl.a. af Esbjerg Kommunes konsekvensanalyse, at utilsigtet informationslæk er identificeret som en trussel ved behandling af personoplysninger i AULA. Det fremgår i den forbindelse, at det kan have konsekvens for fortroligheden og integriteten af oplysningerne, f.eks. ved forkerte adgange grundet manglende eller uklare politikker, manglende opfølgning på sletteprocedurer, datalæk grundet manglende funktionsadskillelse, forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen, for vidtgående brugerrettigheder/adgangsprivilegier og fejlagtig publicering af data, der indeholder følsomme oplysninger. Ifølge beskrivelsen er risikoen nedbragt fra medium til lav efter implementering af en række sikkerhedskontroller, herunder periodisk revision af adgangsrettigheder samt politikker og procedurer til sikring af dataudveksling på tværs af kommunikationskanaler.
Et andet eksempel på en identificeret trussel, der er beskrevet i Esbjerg Kommunes konse-kvensanalyse er brugerfejl. Det fremgår i den forbindelse, at det kan have konsekvens for fortroligheden og integriteten, f.eks. ved fejlhåndtering af personoplysninger i systemet/løsnin-gen, foretaget af en autoriseret bruger og uforsætlige brugerhandlinger, fejlbehandling af me-dier samt mangel på brugeruddannelse. Ifølge beskrivelsen er risikoen nedbragt fra medium til lav efter implementering af en række sikkerhedskontroller, herunder logning af standardbru-geraktiviteter, informationssikkerhedspolitik, retningslinjer til medarbejdere vedrørende og procedurer for tildeling af adgangsrettigheder, som matcher organisationens sikkerhedskrav til adgang til data.
Der er to trusler, som Esbjerg Kommune vurderer medfører en høj risiko, forud for implementering af sikkerhedsforanstaltninger (kontroller). Den ene trussel vedrører angreb med skadelig kode, hvor det fremgår, at det kan have konsekvens for fortroligheden, integriteten og tilgængeligheden. Kommunen vurderer, at risikoen er nedbragt til at være lav. Den anden trussel vedrører cyberangreb, hvor det fremgår, at det kan have konsekvens for fortroligheden og tilgængeligheden. Kommunen vurderer, at risikoen er nedbragt til at være medium.
Den pågældende konsekvensanalyse omtales nærmere i afsnittet nedenfor.
3.2.2. Konsekvensanalyse
Esbjerg Kommune har fremsendt kommunens konsekvensanalyse vedrørende databeskyttelse om behandlingsaktiviteterne i AULA og oplyst, at de har udarbejdet konsekvensanalysen med udgangspunkt i KOMBIT’s risikovurderinger. Det fremgår, at konsekvensanalysen er udfyldt den 26. oktober 2020.
Datatilsynet forstår på konsekvensanalysen, at AULA er taget i brug hos kommunens folkeskoler i september 2019 og hos kommunens dagtilbud og dagplejer i juli 2020. Dette er på baggrund af kommunens angivelse af, hvor mange personer, der har adgang til AULA, hvor disse tidspunkter er angivet.
Konsekvensanalysen er udarbejdet i et Excel ark med flere faner. Konsekvensanalysen indeholder følgende:
På siden med titlen ”Information om konsekvensanalyse, jf. databeskyttelsesforordningen” er der generel information om, hvad en konsekvensanalyse er, hvorfor der skal laves en konsekvensanalyse, hvad databeskyttelsesforordningens artikel 35, stk. 1, 1. pkt. siger, og hvem der skal lave en risikovurdering. Derudover indeholder siden følgende kommentar fra Esbjerg Kommunes databeskyttelsesrådgiver: ”Jeg vurderer, at der er foretaget tilstrækkelige tekniske og organisatoriske foranstaltninger til at nedbringe risikoen for den registrerede. Jeg er enig i konklusionerne i denne konsekvensanalyse.” Det fremgår, at databeskyttelsesrådgiverens vurdering er foretaget den 30. oktober 2020.
På siden med overskriften ”Skema 1: Skal der udarbejdes en konsekvensanalyse” er der information om datoen for skemaets udfyldelse (den 26. oktober 2020). Derudover indeholder siden en beskrivelse af, hvilke personoplysninger der behandles og formålet med behandlingen samt en vurdering af, om der skal udarbejdes en konsekvensanalyse.
På siden med titlen ”Kortlægning af behandlingsaktivitet” er følgende beskrevet: Hvem der er dataansvarlig, typer af personoplysninger der behandles, på hvilket grundlag/hjemmel der behandles personoplysninger, kategorier af registrerede, antal registrerede, behandlingsaktiviteter som data undergår igennem helle processen/processerne, type af teknologi der anvendes, personalegrupper der har adgang til data, antal personer der har adgang til personoplysninger, dataudveksling, sletning af data, potentiel anvendelse af eksterne databehandlere, potentiel videregivelse af oplysninger til tredjeparter.
På to sider med titlen ”Konsekvens de registrerede” er der foretaget vurderinger på baggrund af følgende kriterier: "Oplysningernes følsomhed", "Indskrænket handlefrihed" og "Teknologiens potentiale til at krænke privatlivet", hvor kommunen har vurderet, om krænkelse af privatlivets fred kan få kritiske konsekvenser, generende konsekvenser eller ingen eller ubetydelige konsekvenser. Esbjerg Kommune har i forhold til alle kriterierne vurderet, at krænkelse af privatlivets fred kan få kritiske konsekvenser
Esbjerg Kommune har derudover på disse sider foretaget en vurdering på baggrund af følgende kriterier "Identificeringspotentialet" og "Størrelsen på brugergruppen", hvor de har foretaget en vurdering af, om konsekvensen ved krænkelse af privatlivets fred kan blive alvorligt forværret, forværret eller ikke vil blive påvirket. I forhold til ”Identificeringspotentialet” har Esbjerg Kommune vurderet, at krænkelse af privatlivets fred kan blive alvorligt forværret. I forhold til "Størrelsen på brugergruppen" har Esbjerg Kommune vurderet, at konsekvensen ved en krænkelse af privatlivets fred kan blive forværret.
På siden med titlen ”Konsekvens dataansvarlig” er påvirkningen af den dataansvarliges omdømme og de økonomiske konsekvenser ved alvorlige brud på privatlivets fred vurderet.
På siden med titlen ”Konsekvensvurdering – Den samlede konsekvensvurdering for datasubjektet” er der foretaget en samlet konsekvensvurdering for de registrerede før de implementerede kontroller (foranstaltninger). Det fremgår, at vurderingskriterierne herfor er "Oplysningernes følsomhed", "Indskrænket handlefrihed" og "Teknologiens potentiale til at krænke privatlivet", som siger noget om styrken eller intensiteten af en potentiel krænkelse for de registrerede. De to sidste vurderingskriterier er "Identificeringspotentialet" og "Størrelsen på brugergruppen", som Esbjerg Kommune beskriver har en begrænset selvstændig betydning, men at det har den egenskab, at de forstærker konsekvensen af de brud, som de tre øvrige vurderingskriterier forårsager. Den samlede konsekvensvurdering for den registrerede er på den baggrund beregnet til at have en værdi på 25, som udgør en høj risiko.
På siden med titlen ”Trusler og kontroller” er en række trusler oplistet med en angivelse af lav, medium eller høj. Det fremgår, at det er en risikovurdering efter de kontroller, der allerede er kørende i Esbjerg Kommune. Derudover indeholder siden en kolonne med angivelse eventuelle kontroller for de enkelte trusler. Et eksempel på en kontrol er ”Handlingsplan for awareness om god databehandlingsskik”. Der er herefter en kolonne med titlen ”Risiko efter”, hvor ”lav” er angivet for størstedelen af truslerne. Der er angivet ”medium” for truslerne ”Angreb med skadelig kode” og ”Cyberangreb”. Endelig indeholder siden en kolonne med bemærkninger for hver trussel. Her er det bl.a. angivet, om det er en relevant trussel. I forhold til de trusler, der er angivet som relevante, fremgår det, om det kan have konsekvens for fortroligheden, integriteten og/eller tilgængeligheden.
På siden med titlen ”Sikkerhedskontroller” er Esbjerg Kommunes 33 sikkerhedskontroller oplistet med angivelse af, om det er en relevant kontrol, bemærkninger om den pågældende sikkerhedskontrol, hvor ansvaret for sikkerhedskontrollen er placeret og henvisning med link til eventuelt relevant materiale.
På siden med titlen ”Konklusion” er det beskrevet, at risikoen er nedbragt fra høj til lav. Der er henvist til siden med titlen ”Konsekvensvurdering – Den samlede konsekvensvurdering for datasubjektet”, og Datatilsynet kan udlede fra siden, at risikoen er vurderet ud fra vurderingskriterierne, der er beskrevet på den side. Der er derudover angivet fem trusselstyper, som kommunen har vurderet kan udgøre en risiko for brud på sikkerheden. Det følger herefter, at for at imødegå de trusler, der er blevet afdækket, er der opstillet en række sikkerhedskontroller, der tilsammen sikrer beskyttelse af de personoplysninger, der indgår i anvendelsen af AULA i Esbjerg Kommune. I den forbindelse fremgår det, at der er blevet identificeret 33 sikkerhedskontroller, der kan nedbringe risikoen og konsekvensen for de registrerede. Endelig fremgår det af siden, at Esbjerg Kommune på baggrund af trussels- og risikovurderingerne samt de indførte sikkerhedsforanstaltninger vurderer, at den behandling der finder sted ikke vil medføre en høj risiko for de registrerede, og at kommunen på baggrund af konsekvensanalysen vurderer, at det ikke er nødvendigt at melde behandlingen til Datatilsynet før påbegyndelse.
Den sidste side har titlen ”Udregninger – må ikke redigeres” og indeholder de talværdier som Datatilsynet antager ligger til grund for Esbjerg Kommunes vurdering af, at risikoen er nedbragt til 4 (lav risiko) fra 25 (høj risiko).
3.3. Anmeldte brud på persondatasikkerheden vedrørende AULA
Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.
I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger, om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.
En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.
Ved en søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget 11 anmeldelser af brud på persondatasikkerheden fra Esbjerg Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.
Flere af anmeldelserne vedrører uautoriseret adgang til personoplysninger.
En af anmeldelserne vedrører uautoriseret adgang til oplysninger, da det i kontaktlister og profiler har fremgået, hvorvidt kontaktpersoner (forældre) har forældremyndighed over et barn eller ej. Brugere af AULA, herunder børn og forældre, har således haft uautoriseret adgang til disse oplysninger. En anden anmeldelse vedrører uautoriseret adgang for brugere, der tidligere har været medlem af en gruppe, til nye medier, som er blevet tilføjet til albummet efter, at brugeren har forladt den pågældende gruppe.
Derudover vedrører flere af brudanmeldelserne, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. Der er både tilfælde, hvor en besked med fortrolige oplysninger om en elev er sendt til en anden elevs forældre, og hvor en besked er sendt til en hel forældregruppe i stedet for den pågældende elevs forældre. Der er også tilfælde, hvor forkerte filer med personoplysninger om elever er vedhæftet opslag på AULA.
4. Begrundelse for Datatilsynets afgørelse
4.1. Risikovurdering
Datatilsynet lægger på baggrund af Esbjerg Kommunes egne oplysninger i sagen til grund, at kommunen har udarbejdet deres egne risikovurderinger, som generelt vedrører kommunens behandling af personoplysninger i forhold til kommunens folkeskoler og dagtilbud, som Esbjerg Kommune omtaler som risikovurderinger på deres fortegnelser.
I den forbindelse lægger Datatilsynet til grund, at Esbjerg Kommunes risikovurderinger af behandlingsaktiviteter, der er beskrevet i kommunens fortegnelse over behandlingsaktiviteter efter artikel 30 i databeskyttelsesforordningen i forhold til kommunens skoler og dagtilbud udgør generelle risikovurderinger for alle behandlingsaktiviteter, der foretages i forhold til kommunens folkeskoler og daginstitutioner, og at vurderingen ikke specifikt vedrører risiciene ved behandlingen af personoplysninger i AULA.
Datatilsynet lægger endvidere til grund, at Esbjerg Kommune har tilsluttet sig de fremsendte risikovurderinger for AULA, som KOMBIT har udarbejdet, og at Esbjerg Kommune derudover i deres konsekvensanalyse vedrørende AULA har foretaget en risikovurdering, hvor en række trusler er identificeret, og hvor Esbjerg Kommune har identificeret 33 sikkerhedskontroller, som de vurderer kan nedbringe risikoen fra høj til lav.
I den forbindelse lægger Datatilsynet til grund, at Esbjerg Kommunes risikovurdering i den fremsendte konsekvensanalyse, udgør kommunens risikovurdering for de behandlingsaktiviteter, der foretages i AULA. Datatilsynet har dermed taget udgangspunkt i den risikovurdering ved tilsynets gennemgang af Esbjerg Kommunes vurdering af, hvilken sikkerhed kommunen anser for passende for kommunens behandlingen af personoplysninger i AULA.
Derudover har Datatilsynet forstået på Esbjerg Kommunes udtalelser, at kommunen ikke anvender modulet ”sikker fildeling” i AULA, og at dokumenter med information om børn således ikke deles med deres forældre via AULA. Datatilsynet har forstået, at dette er på baggrund af overvejelser efter anvisningerne i databeskyttelsesforordningens artikel 25, stk. 1, om pseudonymisering og dataminimering.
Det fremgår i øvrigt af Esbjerg Kommunes konsekvensanalyse, at ”sikker fildeling” ikke anvendes i Esbjerg Kommune, men at ”sikker fildeling” ikke kan slås fra. Det fremgår videre, at der derfor vil kunne forekomme følsomme oplysninger i modulet ”sikker fildeling”.
4.1.1. Relevante regler
Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.
Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2 for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.
Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder, skal ske inden behandlingerne igangsættes.
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.
Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.
Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.
4.1.2. Generelt om krav til risikovurdering
Datatilsynet bemærker, at det ikke fremgår af databeskyttelsesforordningen, hvor detaljeret risikovurderingen skal være. Det er Datatilsynets opfattelse, at den dataansvarlige må fastlægge et passende niveau henset til de risici, som er relevante for den dataansvarliges behandling af personoplysninger.
Såfremt en leverandør, databehandler eller tilgængelige analyser mv. fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Særligt når behandlingsaktiviteter i et system bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i den behandling af personoplysninger, der sker hos den dataansvarlige.
Det fremgår ikke eksplicit noget sted i databeskyttelsesforordningen, hvordan dokumentationen skal se ud, hvad det konkrete indhold skal være, eller hvad hyppigheden for ajourføring og opdatering skal være.
Datatilsynets finder, at dokumentationsforpligtelsen indebærer, at tilsynsmyndigheden – ud af det samlede materiale, som den dataansvarlige kan fremlægge – kan foretage en vurdering af, om behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det bør således fremgå af det fremlagte materiale, hvordan og på hvilket grundlag de databeskyttelsesretlige overvejelser er truffet. Dette er bl.a. i forhold til behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.
Derudover bør det fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante overvejelser og handlinger er sket.
Det er Datatilsynets opfattelse, at en risikovurdering bør indeholde en vurdering af konsekvensen (f.eks. høj, medium, lav) for de registrerede ved tab af fortrolighed, tilgængelighed og integritet. Herefter skal det i risikovurderingen identificeres, hvilke trusler der er for tab af fortrolighed, tilgængelighed og integritet samt sandsynligheden (f.eks. høj, medium, lav) for, at truslen bliver realiseret. Endelig skal der i risikovurderingen ske en kortlægning af de eksisterende sikkerhedsforanstaltninger og deres bidrag til at reducere risikoen. På den baggrund kan de dataansvarlige vurdere risikoen og tage stilling til, om det er en acceptabel risiko, eller om der skal iværksættes yderligere foranstaltninger. Ved at forholde sig til disse elementer i en risikovurdering kan de dataansvarlige således dokumentere, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.
4.1.3. Esbjerg Kommunes identificering og vurdering af risici
Datatilsynet lægger til grund, at Esbjerg Kommune i deres konsekvensanalyse har identificeret en række trusler og vurderet risikoen for hver af disse trusler før og efter en række oplistede foranstaltninger. Datatilsynet kan imidlertid ikke udlede af materialet, hvordan Esbjerg Kommune vurderer de forskellige risici, da kommunen blot har angivet ”høj”, ”medium” eller ”lav”.
Esbjerg Kommunes risikovurdering i deres konsekvensanalyse indeholder således ikke de elementer, som en risikovurdering efter Datatilsynets opfattelse bør indeholde. Der henvises til afsnit 4.1.2. ovenfor.
Det er i øvrigt Datatilsynets vurdering, at Esbjerg Kommune i forhold til de beskrevne trusler og risici i konsekvensanalysen ikke forholder sig konkret til, hvad risiciene indebærer i forhold til de behandlingsaktiviteter, der foregår i AULA. I forhold til f.eks. truslen ”Brugerfejl” er det generelt beskrevet, at det kan have konsekvens for fortroligheden og integriteten. Som eksempel herpå er der bl.a. nævnt fejlhåndtering af personoplysninger i systemet/løsningen foretaget af en autoriseret bruger. Det fremgår imidlertid ikke, hvordan en autoriseret brugers fejlhåndtering af personoplysninger i AULA kan påvirke fortroligheden og integriteten af oplysningerne, hvilken konsekvens det kan have for de registrerede, eller hvad sandsynligheden er for, at truslen bliver realiseret.
Esbjerg Kommune forholder sig endvidere ikke i deres risikovurdering i konsekvensanalysen til risikoen ved at, at Esbjerg Kommune ikke anvender modulet ”sikker fildeling”, men at ”sikker fildeling” ikke kan slås fra, og at der derfor vil kunne forekomme følsomme personoplysninger i modulet.
Datatilsynet kan i øvrigt konstatere ved en sammenligning af Esbjerg Kommunes konsekvensanalyse med det fremsendte materiale fra KOMBIT, at Esbjerg Kommune ved deres identificering af risici, før der er truffet foranstaltninger, har vurderet, at nogle risici er vurderet til at være medium, hvor KOMBIT har vurderet disse risici til at være høje. Som eksempel herpå kan Datatilsynet nævne forkerte adgange grundet manglende eller uklare politikker og fejlhåndtering af personoplysninger i systemet/løsningen, foretaget af en autoriseret bruger. Esbjerg Kommune har i forhold til disse risici vurderet, at risikoen er nedbragt til at være lav.
Esbjerg Kommune ses imidlertid ikke at have redegjort for, hvorfor de anførte risikoscenarier indebærer en lavere risiko i Esbjerg Kommune, end hvad der fremgår af KOMBIT’s risikovurdering.
Datatilsynet finder på den baggrund, at Esbjerg Kommune ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger udgør for de registrerede.
4.1.4. Esbjerg Kommunes beskrivelse af foranstaltninger
Datatilsynet forstår på oplysningerne i konsekvensanalysen, at Esbjerg Kommune har foretaget en samlet vurdering af risikoen for de registrerede – som er nedbragt fra høj til lav – på baggrund af følgende vurderingskriterier: "Oplysningernes følsomhed", "Indskrænket handlefrihed" og "Teknologiens potentiale til at krænke privatlivet", "Identificeringspotentialet" og "Størrelsen på brugergruppen". Datatilsynet kan imidlertid ikke udlede af materialet, hvad baggrunden er for, at den samlede risiko vurderes til at være lav efter de implementerede foranstaltninger.
Det fremgår endvidere ikke entydigt, hvordan de oplistede foranstaltninger er relevante i forhold til at nedbringe de identificerede trusler. Som eksempel herpå kan Datatilsynet nævne, at i forhold til truslen utilsigtet informationslæk er ”Retningslinjer/processer for oplysning om formålet med databehandlingen, og dette sker ved dataindsamlingspunktet” nævnt som en foranstaltning.
Datatilsynet kan ligeledes konstatere, at det ikke fremgår af konsekvensanalysen, hvordan foranstaltningerne har nedbragt de forskellige risici. I den forbindelse bemærker tilsynet, som også nævnt ovenfor under punkt 4.1.3., at tilsynet ikke kan udlede af materialet, hvordan Esbjerg Kommune vurderer de forskellige risici før og efter de implementerede foranstaltninger, da kommunen blot har angivet ”høj”, ”medium” eller ”lav”.
Datatilsynet finder, at den samlede dokumentation, herunder risikovurderingen, ikke er tilstrækkelig underbygget med henblik på at påvise, at Esbjerg Kommune har nedbragt risikoen til at være lav og sikret et passende beskyttelsesniveau i forhold til de risici for de registrerede, som behandlingen af personoplysninger i AULA indebærer.
4.1.5. Særligt vedrørende risiko for fejlfremsendelse i AULA’s beskedmodul
Det er generelt Datatilsynets opfattelse, at dataansvarlige der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør efter Datatilsynets opfattelse undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
På den baggrund skal Datatilsynet anbefale, at Esbjerg Kommune sammen med KOMBIT og de øvrige dataansvarlige kommuner foretager en sådan undersøgelse. Dette er særligt henset til, at AULA’s brugere ofte er personer, der ikke som sit primære virke arbejder med databeskyttelse (undervisere, pædagogisk personale samt forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud – kan indebære, at der bør stilles skærpede krav til den dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger jf. artikel 32.
Datatilsynet kan i den forbindelse nævne, at tilsynet har konstateret, at AULA’s beskedmodul er indrettet på en måde, så det i beskeder, der er sendt til flere modtagere, er mest oplagt at svare alle personer i beskedtråden. Der er et mindre synligt felt, hvor det er muligt at svare afsenderen af beskeden direkte. I feltet hvor brugeren svarer alle i beskedtråden, er der dog information om, hvor mange personer brugeren svarer. En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af AULA utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere.
Derudover har Datatilsynet konstateret, at der automatisk opstilles forslag til modtagere, når brugeren begynder at skrive i modtagerfeltet ”Til”. Det er i den forbindelse både medarbejdere, børn og forældre, der foreslås som modtagere. Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager.
4.1.6. Samlet vurdering vedrørende risikovurdering
Efter en samlet vurdering finder Datatilsynet, at Esbjerg Kommune ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger udgør for de registrerede.
Datatilsynet finder derudover, at den samlede dokumentation, herunder risikovurderingen, ikke er tilstrækkelig underbygget med henblik på at påvise, at Esbjerg Kommune har nedbragt risikoen til at være lav og sikret et passende beskyttelsesniveau i forhold til de risici for de registrerede, som behandlingen af personoplysninger i AULA indebærer.
På den baggrund finder Datatilsynet, at Esbjerg kommune ikke har godtgjort, at risikoen ved behandlingen af personoplysninger i AULA er nedbragt til at være lav. Det er således Datatilsynets vurdering, at Esbjerg Kommune ikke i fuldt tilstrækkeligt omfang har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.
Datatilsynet udtaler derfor kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at Esbjerg Kommune ikke ses at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.
Datatilsynet har endvidere lagt vægt på, at Esbjerg Kommune ikke – hvor de afviger fra KOMBIT’s vurdering af risici – har redegjort for, hvorfor de anførte risikoscenarier indebærer en lavere risiko i Esbjerg Kommune, end hvad der fremgår af KOMBIT’s risikovurdering.
Datatilsynet skal i den forbindelse bemærke, at tilsynet forsat jævnligt modtager anmeldelser af brud på persondatasikkerheden i AULA fra landets kommuner, herunder hændelser hvor oplysninger utilsigtet videregives til uvedkommende i f.eks. beskeder. Som nævnt ovenfor under punkt 3.3. kan Datatilsynet konstatere, at disse hændelser kan medføre alvorlige konsekvenser for de berørte registrerede. Det er således på den baggrund – og efter en gennemgang af KOMBIT’s risikovurdering og Esbjerg Kommunes risikovurdering i deres konsekvensanalyse – Datatilsynets vurdering, at risikoen for de registreredes rettigheder og frihedsrettigheder ikke er nedbragt til at være lav.
4.2. Konsekvensanalyse
4.2.1. Krav om konsekvensanalyse
Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.
I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse[6] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse.
Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger.
Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan.
Konsekvenserne for en registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.
Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.
Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
På baggrund af ovenstående er Datatilsynet enig med Esbjerg Kommunes vurdering af, at behandlingen af personoplysninger i AULA indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at behandlingsaktiviteterne der foretages i AULA er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse forud for ibrugtagningen af AULA.
4.2.2. Tidspunkt for udarbejdelse af konsekvensanalyse
Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.
Datatilsynet lægger til grund, at Esbjerg Kommunes konsekvensanalyse er udarbejdet den 26. oktober 2020, da det fremgår af konsekvensanalysen under overskriften ”Skal der udarbejdes en konsekvensanalyse?”, at datoen for udfyldelse er den 26. oktober 2020. Derudover lægger Datatilsynet til grund, at AULA er taget i brug hos kommunens folkeskoler i september 2019 og hos kommunens dagtilbud og dagplejer i juli 2020. Dette er på baggrund af kommunens angivelse af, at 1.425 personer havde adgang til AULA pr. 5. september 2019 i forhold til skolernes brug af AULA, og at i alt 1.127 personer havde adgang til AULA pr. juli 2020 i forhold til dagtilbuddenes og dagplejernes brug af AULA. Der henvises i øvrigt til det anførte under punkt 3.1. om, at KOMBIT oplyser på hjemmesiden aulainfo.dk, at AULA er taget i brug hos hovedparten af folkeskolerne i 2019 og hos dagtilbud i vinteren 2020/2021.
Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.
Som anført ovenfor under punkt 1 har Datatilsynet konstateret på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke er at betragte som dataansvarlig, og derfor har tilsynet oplyst KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT skal overdrage alt nødvendigt materiale og information til kommunerne i den anledning.
Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at Esbjerg Kommunes konsekvensanalyse ikke har været udarbejdet forud for deres behandling af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Esbjerg Kommune ved ibrugtagning af AULA var af den opfattelse, at KOMBIT var dataansvarlig for behandlingen af personoplysningerne i løsningen og dermed også ansvarlig for udarbejdelsen af en risikovurdering og konsekvensanalyse.
På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.
Det er således Datatilsynets opfattelse, at Esbjerg Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT har informeret kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og har overdraget alt nødvendigt materiale i den forbindelse. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.
Datatilsynet kan imidlertid konstatere, at Esbjerg Kommune først ses at have udarbejdet en konsekvensanalyse i oktober 2020 og dermed 10 måneder efter, at der var klarhed om dataansvaret for AULA.
Det er Datatilsynets opfattelse, at Esbjerg Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.
Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.
Datatilsynet finder på den baggrund, at Esbjerg Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA 10 måneder efter, at kommunen er blevet opmærksom på, at de er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.
4.2.3. Minimumskrav til konsekvensanalyser
Databeskyttelsesforordningens artikel 35 indeholder en række krav, som en konsekvensanalyse som minimum skal opfylde. Disse krav følger af stk. 7 og omfatter følgende:
- en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
- en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
- en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
- de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Databeskyttelsesforordningens regler om konsekvensanalyse skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.
En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.
Databeskyttelsesforordningen giver de dataansvarlige fleksibilitet til at fastlægge den nøjagtige struktur og form af konsekvensanalysen vedrørende databeskyttelse. Men uanset formen skal en konsekvensanalyse vedrørende databeskyttelse indeholde ovenstående mindstekrav og dermed være en egentlig vurdering af risici, der gør det muligt for de dataansvarlige at træffe foranstaltninger for at afhjælpe dem.
Datatilsynet har gennemgået Esbjerg Kommunes konsekvensanalyse i forhold til mindstekravene i databeskyttelsesforordningens artikel 35, stk. 7.
Det er tilsynets samlede vurdering, at Esbjerg Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil, jf. herved forordningens artikel 35, stk. 7, litra a-d. Konsekvensanalysen indeholder bl.a. ikke vurderinger af nødvendighed og proportionalitet.
Nedenfor følger Datatilsynets vurdering af konsekvensanalysen i forhold til de enkelte mindstekrav, der følger af artikel 35, stk. 7, litra a-d.
Ad a) Systematisk beskrivelse af behandlingsaktiviteter og formål
Det er Datatilsynets opfattelse, at kravet om en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a, indebærer, at de dataansvarlige skal foretage en systematisk beskrivelse af de forskellige former for behandling, f.eks. indsamling, registrering, videregivelse mv., som personoplysningerne vil blive genstand for samt en klar beskrivelse og definition af de personoplysninger, som behandles. Derudover indebærer kravet, at konsekvensanalysen skal indeholde en beskrivelse af formålet med behandlingen.
Det er derudover Datatilsynets opfattelse, at en systematisk beskrivelse bør indeholde oplysninger om det retlige grundlag, der er for behandlingen (hjemmel), hvilke kategorier af registrerede der behandles oplysninger om, antallet af registrerede, information om hvor oplysningerne kommer fra, hvem – inden for og uden for organisationen – der kan tilgå oplysningerne, hvor længe oplysningerne opbevares, om der sker overførsel af oplysninger til tredjelande (og på hvilket grundlag), og om der anvendes nye teknologier til behandlingen af personoplysninger. Den systematiske beskrivelse skal således bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Datatilsynet skal i den forbindelse henvise til præambelbetragtning nr. 90[7].
Esbjerg Kommunes konsekvensanalyse indeholder information om de forskellige former for behandlingsaktiviteter, som personoplysningerne undergår i AULA, det retlige grundlag for behandlingen, kategorier af registrerede der behandles oplysninger om i AULA, antal registrerede personer, type af teknologi der anvendes, hvilke personalegrupper der har adgang til data, antal personer der har adgang til data, opbevaring af data, herunder hvornår oplysninger i modulet ”sikker fildeling” slettes, mulighed for håndtering af anmodninger om sletning, anvendelse af databehandlere og videregivelse af oplysninger til tredjeparter.
Esbjerg Kommunes konsekvensanalyse indeholder derudover en angivelse af hvilke typer personoplysninger, der behandles i AULA. Det fremgår, at der behandles både almindelige og følsomme personoplysninger samt CPR-numre i AULA. Det er i den forbindelse nærmere angivet, hvilke kontaktoplysninger der behandles. Det fremgår videre, at Esbjerg Kommune ud fra behov vælger, hvilke yderligere data om eleven, der er behov for at kende, og at disse indberettes som supplerende stamdata.
For så vidt angår de særlige kategorier af personoplysninger (følsomme personoplysninger) angiver Esbjerg Kommune, at institutionerne kan vælge, at der indberettes oplysninger om bl.a. allergier. Derudover fremgår det, at der i beskeder i AULA vil forekomme følsomme personoplysninger. Ligeledes fremgår det af konsekvensanalysen, at der vil kunne forekomme følsomme personoplysninger i modulet ”sikker fildeling”. Det fremgår i den forbindelse, at ”sikker fildeling” ikke anvendes i Esbjerg Kommune, men at modulet ikke kan slås fra.
Det er ikke nærmere angivet, hvilke følsomme personoplysninger, f.eks. helbredsoplysninger eller oplysninger om religiøs overbevisning, der kan være indeholdt i beskeder og modulet ”sikker fildeling”. Det er Datatilsynets forståelse, at det er brugerne af AULA, herunder forældre og elever, der anvender disse moduler i deres kommunikation med skole eller daginstitution, og kommunen derfor ikke nødvendigvis kan forudsige præcis, hvilke eksempler på følsomme personoplysninger modulerne vil indeholde.
Det er imidlertid Datatilsynets opfattelse, at Esbjerg Kommune i deres beskrivelse af behandlingsaktiviteterne kan tage udgangspunkt i deres erfaringer om, hvilke typer oplysninger, som beskeder fra pædagogisk personale mv. til forældre og elever typisk indeholder. Særligt da AULA var taget i brug ved Esbjerg Kommunes udarbejdelse af konsekvensanalysen, er det Datatilsynets opfattelse, at det har været muligt for Esbjerg Kommune nærmere at beskrive, hvilke følsomme oplysninger der behandles i AULA.
Derudover ses konsekvensanalysen ikke at indeholde oplysninger om, hvor længe oplysningerne opbevares i forhold til de øvrige moduler i AULA (ud over ”sikker fildeling”), eller om hvorvidt der sker overførsel af personoplysninger til tredjelande. Det fremgår imidlertid at Esbjerg Kommune anvender KOMBIT, Netcompany og AWS (Amazon Web Services) som (under) databehandlere, og at ingen medarbejdere hos hverken KOMBIT eller AWS har adgang til løsningen, og at kun udvalgte medarbejdere hos Netcompany har adgang for at kunne udøve nødvendig fejlsøgning og support.
Det er imidlertid Datatilsynets opfattelse, at konsekvensanalysen bør angive, om der sker overførsel af personoplysninger til tredjelande, ligesom at det bør fremgå hvor længe personoplysninger, der behandles i løsningen, opbevares.
Datatilsynet kan konstatere, at Esbjerg Kommune i konsekvensanalysen har beskrevet formålet med behandlingen. Det fremgår, at formålet med behandlingen af personoplysninger i Aula er at stille en kommunikationsplatform til rådighed, og dermed give adgang til behandling og opbevaring af data til brug for det daglige arbejde om børn i dagtilbud og eleverne i kommunens skoler i et system, som kan understøtte kommunikations- og læreprocesser i folkeskolen og på dagtilbudsområdet. Derudover fremgår det, at der ikke findes sager, afgørelser, profilering, personaleadministration mv. sted i Aula.
Det er på den baggrund Datatilsynets vurdering, at Esbjerg Kommune har beskrevet deres behandlingsaktiviteter i AULA og formålet med behandlingen, men at beskrivelsen ikke er tilstrækkelig detaljeret, da den ikke indeholder oplysninger om, hvilke typer følsomme personoplysninger der behandles, hvor længe personoplysningerne opbevares, eller en klar angivelse af hvorvidt der sker overførsel af personoplysninger til tredjelande. Mindstekravet i artikel 35, stk. 7, litra a er således ikke opfyldt.
Ad b) Vurdering af nødvendighed og proportionalitet
Datatilsynet kan konstatere, at Esbjerg Kommunes konsekvensanalyse ikke indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, som er et krav efter artikel 35, stk. 7, litra b.
Ad c) og d) Vurdering af risici og foranstaltninger
Esbjerg Kommunes konsekvensanalyse indeholder en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder samt oplistning af de foranstaltninger, som kommunen vurderer kan nedbringe risikoen for de registrerede. Esbjerg Kommune ses således at have arbejdet med de risici, som behandlingen af personoplysninger i AULA indebærer.
Som anført ovenfor under punkt 4.1.6. er det imidlertid Datatilsynets vurdering, at Esbjerg Kommune ikke har godtgjort, at risikoen er nedbragt til at være lav, og at Esbjerg Kommune således ikke har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer. Datatilsynet finder efter en samlet gennemgang af det fremsendte materiale, at den samlede dokumentation, herunder risikovurderingen i konsekvensanalysen, ikke er tilstrækkelig underbygget med henblik på at påvise, at Esbjerg Kommune har sikret et passende beskyttelsesniveau i forhold til de risici for de registrerede, som behandlingen af personoplysninger i AULA indebærer.
Det er således Datatilsynets vurdering, at konsekvensanalysens indhold vedrørende kommunens vurdering af risiciene og de oplistede foranstaltninger (kontroller) ikke er tilstrækkelig i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra c og d.
4.2.4. Krav om at rådføre sig hos databeskyttelsesrådgiveren
Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Det følger endvidere af forordningens artikel 39, stk. 1, litra c, at databeskyttelsesrådgiveren som minimum bl.a. skal rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.
Datatilsynet lægger til grund, at Esbjerg Kommune har rådført sig med kommunens databeskyttelsesrådgiver, da det fremgår under overskriften ”Kommentar fra DPO” i konsekvensanalysen, at den pågældende DPO vurderer, at der er foretaget tilstrækkelige tekniske og organisatoriske foranstaltninger til at nedbringe risikoen for den registrerede. Derudover fremgår det, at databeskyttelsesrådgiveren er enig i konklusionerne i konsekvensanalysen.
4.2.5. Samlet vurdering vedrørende konsekvensanalyse
Efter en gennemgang af Esbjerg Kommunes konsekvensanalyse finder Datatilsynet, at Esbjerg Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a-d.
Datatilsynet finder derudover, at Esbjerg Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA 10 måneder efter, at det har stået klart, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.
På den baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at Esbjerg Kommune har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA, der indeholder elementer, der fremgår af artikel 35, stk. 7, litra a, c og d, men at konsekvensanalysen ikke indeholder en vurdering af om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene.
Esbjerg Kommunes konsekvensanalyse er efter Datatilsynets opfattelse endvidere ikke tilstrækkelig detaljeret. I den forbindelse bemærker Datatilsynet, at konsekvensanalysen ikke indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, og at beskrivelsen af behandlingsaktiviteterne ikke er tilstrækkelig detaljeret. I den forbindelse bemærker Datatilsynet, at en systematisk beskrivelse af behandlingsaktiviteterne skal bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Derudover er konsekvensanalysens indhold vedrørende kommunens vurdering af risiciene og de oplistede foranstaltninger (kontroller) ikke er tilstrækkelig i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra c og d.
Datatilsynet har derudover lagt vægt på tidspunktet for Esbjerg Kommunes udarbejdelse af konsekvensanalysen.
Datatilsynet bemærker i den forbindelse, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt. Det er Datatilsynets opfattelse, at Esbjerg Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.
4.3. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.
Datatilsynet finder endvidere grundlag for at udtale kritik af, at Esbjerg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35. stk. 1.
4.4. Datatilsynets generelle bemærkninger
I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i, at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.
Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.
Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.
Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.
Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[8]
Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.
I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.
Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.
Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.
På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/kommunale-opgaver/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet/
[4] KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/
[5] Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/11560/illustration-af-aftaler-om-databehandling-i-og-omkring-bpi.pdf
[6] Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017.
[7] Af præambelbetragtning nr. 90 fremgår det følgende: ”I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.”
[8] Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.