Tilsyn med Frederikshavn Kommune

Dato: 22-12-2023

Afgørelse Offentlige myndigheder Kritik Alvorlig kritik Tilsyn / egendriftssag Behandlingssikkerhed Grundlæggende principper Risikovurdering og konsekvensanalyse

Datatilsynet har truffet afgørelse i fem tilsynssager vedrørende behandlingssikkerheden i AULA. Datatilsynet fandt anledning til at meddele påbud om udarbejdelse af konsekvensanalyser i to af sagerne. Derudover har tilsynet udtalt kritik og alvorlig kritik i sagerne.

Journalnummer: 2023-423-0004.

Resumé

Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.

”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.

Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.

Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.

Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.

Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA.

Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.

Konsekvensanalyse

Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.

Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.

De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.

Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.

Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik. Datatilsynet har udtalt kritik overfor den tredje kommune.

Risikovurdering

Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.

Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.

De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.

Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.

Risiko for fejlfremsendelse i AULA

Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.

Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder.

Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.

Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.

Fælles konsekvensanalyse og adfærdskodeks

Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.

I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.

Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.

Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.

”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.

1. Skriftligt tilsyn med Frederikshavn Kommune vedrørende it-systemet AULA

Frederikshavn Kommune er blandt de kommuner, som Datatilsynet i efteråret 2021 udvalgte til at føre tilsyn med efter databeskyttelsesforordningen^[1] og databeskyttelsesloven^[2].

Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.

Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

2. Afgørelse

Efter en stikprøvevis gennemgang af KOMBIT’s risikovurdering og en gennemgang af Frederikshavn Kommunes risikovurdering i deres konsekvensanalyse finder Datatilsynet, at Frederikshavn Kommune har påvist at have identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Frederikshavn Kommune ses således at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter.

Det er imidlertid Datatilsynets vurdering, at Frederikshavn Kommune ikke har godtgjort, at de foranstaltninger, der er implementeret med henblik på at nedbringe risikoen ved behandlingen af personoplysninger i AULA, er tilstrækkelige til at nedbringe risikoen fra at være høj til at være medium. Det er således Datatilsynets vurdering, at Frederikshavn Kommune ikke i fuldt tilstrækkeligt omfang har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Datatilsynet udtaler derfor kritik af, at Frederikshavn Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Det er derudover Datatilsynets vurdering, at Frederikshavn Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a og d.

Datatilsynet finder derudover, at Frederikshavn Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA næsten tre år efter, at det har stået klart, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1. Datatilsynet finder det i den forbindelse alvorligt, at konsekvensanalysen først ses at være udarbejdet efter, at Datatilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.

På den baggrund finder Datatilsynet endvidere grundlag for at udtale alvorlig kritik af, at Frederikshavn Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

3. Sagsfremstilling

Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Frederikshavn Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:

De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
En gennemgang af autorisations- samt adgangsstyringsmodeller.

Frederikshavn Kommune er den 5. november 2021 fremkommet med en udtalelse til sagen samt en række bilag. Datatilsynet har herefter den 16. november 2021 modtaget Frederikshavn Kommunes genfremsendelse af materialet, som det ikke var muligt for Datatilsynet at åbne ved den første fremsendelse. Frederikshavn Kommune har herefter den 4. november 2022 efter aftale med Datatilsynet fremsendt opdateret materiale, herunder en opdateret konsekvensanalyse, på baggrund af opdaterede risikovurderinger og en skabelon for konsekvensanalyse. Frederikshavn Kommune har i den forbindelse også fremsendt materiale, der ved en fejl ikke tidligere var fremsendt.

Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Frederikshavn Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.

Datatilsynet har herefter ved brev af 9. december 2022 stillet en række uddybende spørgsmål til Frederikshavn Kommune i forhold til eventuelle mitigerende foranstaltninger, som kommunen har truffet. Frederikshavn Kommune har besvaret disse spørgsmål den 10. januar 2023.

3.1. Generelt om beslutning og udvikling af AULA

Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3] Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.

KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT A/S (herefter KOMBIT), i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet Aula i samarbejde med firmaerne Frog, EduLab og Advice.

KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4]

Datatilsynet lægger til grund, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]

3.2. Frederikshavn Kommunes bemærkninger

3.2.1. Risikovurdering

Frederikshavn Kommune har oplyst, at de i 2018 vurderede, at risikovurderingerne for AULA, der var udført af KOMBIT, var fyldestgørende og ikke afveg fra kommunens vurderinger. Derfor har Frederikshavn Kommune valgt at bruge KOMBIT’s risikovurderinger som grundlag for det nødvendige sikkerhedsniveau i AULA.

Frederikshavn Kommune har i deres udtalelse henvist til fem af deres fremsendte bilag med risikovurderinger af fem forskellige dataprocesser i AULA (Dataproces 1: Administration af brugere og grupper, Dataproces 2: Login og brugeroplysninger, Dataproces 3: Kommunikation og samarbejde i folkeskolen, Dataproces 4: Kommunikation og samarbejde i dagtilbud, Dataproces 5: Deling af oplysninger med andre it-løsninger).

Det fremgår af et notat dateret den 11. september 2018 med titlen ”AULA risikovurderinger fra KOMBIT”, som Datatilsynet har modtaget fra Frederikshavn Kommune, at det er Frederikshavn Kommunes databeskyttelsesrådgivers vurdering, at KOMBIT’s risikovurderinger for følgende områder er fyldestgørende: Administration af brugere og gruppe, Login og brugeroplysninger, Kommunikation og samarbejde i folkeskolen/dagtilbud og Deling af oplysninger med andre it-løsninger.

Det følgende fremgår i øvrigt af notatet:

”Højeste trussel - En lang række risici er koblet til den menneskelige faktor, adfærd fra brugerne.”

Herefter er afbødeforanstaltninger som følge af risikovurderingerne foreslået i forhold til interne brugere. Det fremgår, at der bør undervises i god adfærd om informationssikkerhed/GDPR til brugerne. I forhold til denne undervisning fremgår det følgende af notatet:

”Denne undervisning kan bl.a. foregå til superbrugeren og specifikke områder kan formidles af databeskyttelsesrådgiver. Det er emner som hører under kategorien Sikker Adfærd fx :

Håndtering af koder
Hvor må man gemme hvilke dokumenter
Mistanke om hacking – procedure herfor ”

Notatet indeholder derudover forslag til afbødeforanstaltninger i forhold til eksterne brugere (forældre). Det følgende fremgår af notatet i den forbindelse:

”I forbindelse med implementering vil det være hensigtsmæssigt at kommunen udformer en kort oplysning til forældre med guides til håndtering af koder i hjemmet. Der pålægger kommunen et formelt som etisk dataansvar ved implementering af systemet som også rækker ud i hjemmene og kommunen bør påtage sig den opgave for at sikre det højeste sikkerhedsniveau for AULA. I adfærd og brug af AULA både på skoler/dagtilbud og hjem er Frederikshavn Kommune katalysator.”

I forhold til andre risici, som ikke er koblet til brugernes adfærd fremgår det følgende af notatet:

”Risici som hacking, procesfejl, tekniske trusler mm må håndteres af IDV som. Her afholdes der møde med afdelingsleder for IT mhp at drøfte tekniske sikkerhedsforanstaltninger.”

Frederikshavn Kommune har videre oplyst, at de i forbindelse med henvendelsen fra Datatilsynet har kontaktet KOMBIT og modtaget de nyeste risikovurderinger for AULA. Frederikshavn Kommune har i den forbindelse henvist til fem Excel ark med risikovurderinger af de fem ovenfor nævnte dataprocesser. Derudover har Frederikshavn Kommune henvist til 12 Excel ark med risikovurderinger af forskellige moduler i AULA samt 12 dokumenter med titlen ”Vurdering af risiko og konsekvens – modul XX”, som vedrører de forskellige moduler i AULA.

På baggrund af en stikprøvevis gennemgang har Datatilsynet konstateret, at det vedlagte materiale fra KOMBIT generelt fastslår, at en række behandlingsaktiviteter, der foretages i AULA, indebærer en høj risiko for de registrerede. Det fremgår endvidere af materialet, at det er forventet/sandsynligt, at en række scenarier vil indtræde, som indebærer konsekvenser, der er kategoriseret som ”ødelæggende” eller ”meget alvorlig”.

Det fremgår f.eks. af KOMBIT’s risikovurdering for beskedmodulet i AULA, at de har identificeret 10 trusler, hvoraf tre af dem er mest sandsynlige. De tre trusler er markeret som røde, og Datatilsynet forstår på materialet, at KOMBIT vurderer, at der er tale om høje risici.

Den ene af truslerne vedrører brugeradfærd, der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. Konsekvensen ved tab af fortrolighed er kategoriseret som ”ødelæggende”, og det fremgår bl.a., at børn kan lide væsentlig skade på omdømme, der kan føre til sociale tab. Sandsynligheden er kategoriseret som ”forventet”, og det fremgår bl.a. i den forbindelse, at det er forventet, at der vil være tilfælde, hvor en bruger fejlagtigt får sendt en besked med personoplysninger til en eller flere brugere. F.eks. ved at de sender til en gruppe.

En anden af truslerne vedrører utilsigtet procesfejl, der medfører forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Det er nærmere beskrevet som læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Det fremgår, at årsagen her til er, at følsomme personoplysninger (f.eks. besked vedrørende et barn sygdom/helbred) kan tilgås eller ændres af uautoriserede internt, og at registrerede eksponeres internt for uautoriserede. Det fremgår videre, at registrerede eksponeres på en måde som skader de sociale relationer, såvel internt blandt kollegaer/elever. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at det er brugere, der skal klassificere data og menneskelige fejl er forventet. Som eksempel fremgår det, at det er muligt for en bruger at sende en besked med følsomme personoplysninger uden opmærkning som ”følsom besked” med deraf følgende lavere sikkerhed.

Den tredje trussel vedrører utilsigtet procesfejl, hvor der er forkerte adgange grundet manglende eller uklare politikker. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Der er i materialet angivet den samme beskrivelse af konsekvensen som ved forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at alle kommuner skal tildele rettigheder til mange brugere/grupper, hvorfor fejl må forventes. Som eksempel fremgår det, at en gruppe kan have medlemmer, der ikke længere hører til gruppen, og som ikke er fjernet fra gruppen.

Datatilsynet kan konstatere efter en gennemgang af de 12 dokumenter med titlen ”Vurdering af risiko og konsekvens – modul XX”, som vedrører de forskellige moduler i AULA, at dokumenterne indeholder et afsnit med titlen ”Kommunens tekniske og organisatoriske foranstaltninger”. Datatilsynet forstår på materialet, at det er KOMBIT, der i afsnittet beskriver de tekniske og organisatoriske foranstaltninger, som alle kommuner efter KOMBIT’s vurdering skal gennemføre for løbende at reducere risici. Det fremgår således ikke af afsnittet, hvilke tekniske og organisatoriske foranstaltninger, som kommunen faktisk har implementeret med henblik på at nedbringe risiciene.

Det følgende fremgår af afsnittet om tekniske og organisatoriske foranstaltninger i dokumentet ”Vurdering af risiko og konsekvens – modul besked”:

”Alle kommuner, skoler og dagtilbud skal sørge for, at alle brugere er uddannet i at undgå utilsigtet videregivelse af personoplysninger fra Aula ved at sende beskeder med personoplysninger til brugere, der ikke er rette modtagere og har et grundlag for at modtage oplysningerne.

Alle kommuner, skoler og dagtilbud skal sørge for, at alle brugere er uddannet og instrueret i dels, hvordan de håndterer og korrekt klassificerer følsomme beskeder i beskedmodulet.

Alle kommuner, skoler og dagtilbud skal have en klar adgangspolitik og praksis for løbende brugeradministration for Aula, der minimerer forkerte bruger- eller systemadgang til personoplysninger i Aula. I den forbindelse er det væsentligt, at institutionen er opmærksom på hvilke brugere de giver adgang til grupper vedrørende en klasse, da medlemskab af en ”klasse” også giver adgang at modtage beskeder om klassen. Dette forhold er særlig væsentlig i forbindelse med vikarer og praktikanter.

Kommunerne skal ligeledes have et særligt fokus på løbende at vedligeholde bruger- eller systemadgang, når der sker ændringer som følge af ændret ansættelsesforhold og ændrede integrationer til Aula.

Kommunen er ansvarlig for processer i forhold til og data i de systemer, der forvalter oplysninger om brugere i Aula. I den forbindelse skal kommunen sikre sig tilstrækkelig overvågning og dokumentation af, at det ikke sker hackerangreb på disse systemer, der kan kompromittere brugerdata.”

I forhold til Datatilsynets spørgsmål i sagen om eventuelle mitigerende foranstaltninger har Frederikshavn Kommune henvist til kommunens konsekvensanalyse.

Frederikshavn Kommune har i konsekvensanalysens afsnit 6.3 med overskriften ”Identifikation og evaluering af risici” oplistet de risici i AULA, som er identificeret som værende høje vurderet i forhold til konsekvens og sandsynlighed. Datatilsynet kan konstatere, at Frederikshavn Kommune har identificeret 27 høje risici. I konsekvensanalysen henvises der til risikovurderingerne for beskrivelser af sandsynlighed og konsekvens. Datatilsynet går ud fra, at der er tale om de bilag med risikovurderinger af fem dataprocesser og 12 moduler i AULA, som Frederikshavn Kommune har fremsendt.

Det fremgår derudover af samme afsnit i konsekvensanalysen, at hver identificeret risiko, hvor risikoen er vurderet ”høj” (rød) eller ”medium” (gul) er uddybet, og at der således ikke som en del af konsekvensanalysen er gennemført en vurdering af risici, som er vurderet som ”lav”(grøn). I den forbindelse fremgår det, at det er forklaret, hvad indholdet i hver enkelt risiko vurderet som ”høj” eller ”medium” er, samt hvorfor det udgør en risiko for de registrerede. Datatilsynet kan imidlertid konstatere, at det alene er de 27 høje risici, der ses at være uddybet i konsekvensanalysen, og at der ikke er en nærmere redegørelse for de risici, som kommunen har vurderet som ”medium”.

I konsekvensanalysens afsnit 6.3.1. har Frederikshavn Kommune foretaget en risikoscoring i forhold til sandsynlighed og konsekvens, hvor der er angivet en værdi fra et til fire, og på den baggrund er der foretaget en samlet risikoscoring. Konsekvensanalysens afsnit 6.2 indeholder en beskrivelse af de fire evalueringskriterier for henholdsvis sandsynlighed og konsekvens. De fire evalueringskriterier der i konsekvensanalysen er anvendt for sandsynlighed er ”Forventet”, ”Sandsynlig”, ”Mindre sandsynlig” og ”Usandsynlig”, og de fire evalueringskriterier der er anvendt for konsekvens er ”Ødelæggende (Meget kritik)”, ”Meget alvorlig (Kritisk)”, ”Mindre alvorlig (Generende)” og ”Ubetydelig (Uvæsentlig)”. Det fremgår i den forbindelse, at evalueringskriterierne matcher kriterierne anvendt i risikovurderingerne for AULA, og at Frederikshavn Kommune anvender KOMBIT’s risikovurderinger.

Frederikshavn Kommunes konsekvensanalyse indeholder derudover en figur med et risikokort. Det fremgår i den forbindelse, at risikokortet viser antallet af identificerede risici for den generelle risikovurdering for de fem dataprocesser og de 12 specifikke risikovurderinger for AULA vist i forhold til sandsynlighed og konsekvens. Det fremgår videre, at figuren afspejler den risikovurdering, som kommunen er nået frem til før kommunens implementering af mitigerende foranstaltninger i AULA.

Konsekvensanalysens afsnit 7.3 med overskriften ”Residualrisiko” indeholder den omtalte tabel med titlen ”Residualrisikoscoring”. Tabellen indeholder for hver af de 27 høje risici en beskrivelse af kommunens valg af foranstaltning for at håndtere risikoen, en vurdering af effekten på risikoen, en angivelse af restrisikoen samt oplysninger om, hvorvidt foranstaltningen er implementeret.

Datatilsynet kan konstatere, at Frederikshavn Kommune i forhold til alle 27 høje risici har vurderet, at effekten af de implementerede foranstaltninger er, at risikoen er nedbragt til ”medium”.

Datatilsynet har set nærmere på tabellens felter, der vedrører de tre høje risici, der er identificeret i beskedmodulet i AULA (risiko nr. 15, 16 og 17), som også er omtalt ovenfor i dette afsnit i forhold til KOMBIT’s risikovurdering for beskedmodulet i AULA.

Risiko nr. 15 vedrører brugeradfærd, der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. I forhold til denne risiko fremgår det af tabellen ”Residualscoring”, at Frederikshavn Kommune har valgt følgende foranstaltning for at håndtere risikoen:

”Der er undervist i reglerne omkring GDPR for alle superbrugere pædagogisk personale ved onboarding af systemet. Superbrugerne samt afdelingsledere har ansvaret for oplæring af nye medarbejdere i Aula”

Risiko nr. 16 vedrører utilsigtet procesfejl, der medfører forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Det er nærmere beskrevet som læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation. I forhold til denne risiko fremgår det af tabellen ”Residualrisikoscoring”, at Frederikshavn Kommune har valgt samme foranstaltning som til risiko nr. 15 (undervisning).

Risiko nr. 17 vedrører utilsigtet procesfejl, hvor der er forkerte adgange grundet manglende eller uklare politikker. I forhold til denne risiko fremgår det af tabellen ”Residualscoring”, at Frederikshavn Kommune har valgt følgende foranstaltning for at håndtere risikoen:

”Oprettelse af brugere og sletning af brugere i de brugeradministrative systemer er en manuel sagsgang, det er ledernes ansvar løbende at kontrollere brugerne i daglig praksis, særligt ved ansættelsesophør.”

3.2.2. Konsekvensanalyse

Frederikshavn Kommunes orienterede den 5. november 2021 Datatilsynet om, at kommunen var påbegyndt udfærdigelsen af konsekvensanalysen, men at den endnu ikke var færdiggjort, da udskiftning af kommunens databeskyttelsesrådgiver havde bevirket udsættelse af enkelte arbejdsopgaver.

Datatilsynet modtog Frederikshavn Kommunes konsekvensanalyse den 4. november 2022. Konsekvensanalysen er dateret den 3. november 2022. Det fremgår af dokumentets versionsstyring, at den første version er udsendt til kommunerne den 28. januar 2020, og at KOMBIT i senere versioner har foretaget rettelser. Datatilsynet lægger på den baggrund til grund, at Frederikshavn Kommunes konsekvensanalyse er udarbejdet på baggrund af et udkast/skabelon fra KOMBIT.

Konsekvensanalysen indeholder tabeller og figurer, og der henvises til risikovurderingerne af de fem dataprocesser og 12 moduler i AULA, som er omtalt ovenfor under punkt 3.2.1.

Første afsnit i konsekvensanalysen indeholder en sammenfatning. Det følgende fremgår bl.a. af afsnittet i forhold til kommunens systemejers vurdering af konsekvensanalysen:

”Det er min opfattelse at konsekvensanalysen på korrekt vis afspejler de procedurer og rammer der er udmeldt kommunalt i forhold til efterlevelse af persondatabehandlingen i AULA.

Jeg har på denne baggrund godkendt konsekvensanalysen.”

Derudover fremgår det følgende bl.a. i forhold til kommunens databeskyttelsesrådgivers vurdering af konsekvensanalysen:

”Det fremgår gennem risikovurderinger, foretaget for både løsningens funkitoner og dataflows, at de væsentligste risici opstår ved manglende viden om regler ved behandling af persondata og ved rettigheder i løsningen.

Det er databeskyttelsesrådgiverens vurdering at kommunens brug af databehandlerens risikovurderinger og konsekvensanalyse, har givet det ønskede overblik over behandlingen af persondata samt om hvor vidt de implementerede foranstaltninger, som procedurer i adgangsstyring, undervisning og awareness, har været dækkende for at nedbringe den høje restrisiko.

Ved nedbringelsen fra høj til mellem risiko, er det databeskyttelsesrådgiverens vurdering at Datatilsynet ikke skal adspørges i en forudgående art. 36 høring.

Databehandler får årligt revideret deres behandling af persondata i løsningen af uvildig tredjepart, som kommunen herefter vurderer og følger op på. Ligeledes modtager kommunen opdaterede risikovurderinger fra databehandler som systemejer bruger i den årlige vurdering af løsningen.”

Konsekvensanalysen indeholder i øvrigt et afsnit 9 med titlen ”Dokumentation af DPO’ens synspunkter”, hvor det bl.a. fremgår, at skoleområdet har bedt databeskyttelsesrådgiveren om at vurdere fordele og ulemper ved at udfærdige konsekvensanalysen med udgangspunkt i KOMBIT’s skabelon og de dertilhørende risikovurderinger i forhold til at udfærdige en ny egenudviklet konsekvensanalyse baseret på egne risikovurderinger. Det fremgår videre, at Frederikshavn Kommune har valgt at bruge de modtagne risikovurderinger og skabelon for konsekvensanalyse fra databehandleren (KOMBIT). Det følgende fremgår om baggrunden for dette valg:

”Dette valg blev foretaget fordi løsningen AULA er så kompleks en løsning hvori der forventes behandling af alle typer af persondata og fordi Datatilsynets ønske om at se den nyeste konsekvensanalyse, i forbindelse med det uafsluttede skriftlige tilsyn med løsningen, betød at det tidsmæssigt ikke var muligt at udarbejde egne risikovurderinger.”

Derudover fremgår det følgende af afsnittet om dokumentationen af databeskyttelsesrådgiverens synspunkter:

”Kommunen vurderede ved implementering af løsningen at de risici KOMBIT identificerede med en restrisiko på "høj", lå i menneskelige håndtering af løsningen. Kommunens fokus og løsning for mitigerende handlinger var derfor centreret omkring styring af adgange gennem procedurer, samt uddannelse og awareness af både personale og elever.

Gennem implementering af organisatoriske foranstaltninger, har kommunen herved vurderet at de kritiske og/eller meget kritiske risici, med en sandsynlighed der lå over "Mindre sandsynlig", var reduceret således at restrisikoen endte på "mellem" og Datatilsynet vil derfor ikke vil blive adspurgt ved en forudgående art. 36 høring.

I den interne revisionsprocedure "Ledelsestilsyn med informationssikkerhed", gennemgår databeskyttelsesrådgiveren sidst på året blandt andet udvalgte centres dokumentation for overholdelse af procedurer. Databeskyttelsesrådgiveren forventer derfor at kunne gennemgå foranstaltningernes indvirkning i brugen af Aula sammen med systemejer i det kommende år.”

I konsekvensanalysens afsnit 3 er processen for gennemførelsen af konsekvensanalysen beskrevet, herunder metoden og inddragelsen af de registrerede. Det fremgår bl.a. heraf, at repræsentanter for de registrerede har været inddraget, og at deres synspunkter er blevet hørt vedrørende den planlagte behandling. Det fremgår i den forbindelse, at følgende har været inddraget: Styrelsen for IT og Læring, medarbejdere, forældre, kommuner (i forhold til kravspecifikation), Danmarks Lærerforening, foreningen Skole & Forældre, FOA, Danske Skoleelever og BUPL.

Konsekvensanalysens afsnit 4 indeholder en beskrivelse af den planlagte behandling. I afsnittet er der svaret på forskellige spørgsmål om behandlingens karakter, omfang, sammenhæng og formål.

Konsekvensanalysens afsnit 5 har overskriften ”Vurdering af nødvendigheden og proportionaliteten”. Der er i den forbindelse henvist til databeskyttelsesforordningens artikel 35, stk. 7, litra b. I afsnittet er der svaret på forskellige spørgsmål i forhold til princippet om lovlighed, rimelighed og gennemsigtighed, princippet om formålsbegrænsning, princippet om dataminimering, princippet om rigtighed, princippet om opbevaringsbegrænsning, behandlingssikkerhed, de registreredes rettigheder, forholdet til databehandlere og overførsel af personoplysninger til tredjelande og internationale organisationer.

Frederikshavn Kommune har i dette afsnit bl.a. forholdt sig til spørgsmål om det retlige grundlag for behandlingsaktiviteterne, hvorvidt formålet kan opnås ved at begrænse – eventuelt helt undgå – behandlingen af personoplysninger, hvordan det sikres, at personoplysningerne registreres korrekt, om der er overblik over, hvem personoplysningerne deles med, og hvordan der sikres overholdelse af de forskellige rettigheder.

I kommunens besvarelse af spørgsmål vedrørende princippet om opbevaringsbegrænsning er der henvist til en politik for sletteregler og sletteprocedurer i AULA, som er tilgængelig på hjemmesiden aulainfo.dk.[6]

Derudover har Frederikshavn Kommune svaret på spørgsmål om anvendelse af databehandlere og underdatabehandlere, og hvordan det sikres, at de overholder kravene til databehandlere i databeskyttelsesforordningen. Herefter følger Frederikshavn Kommunes svar på spørgsmål om overførsel af personoplysninger til tredjelande og internationale organisationer.

Konsekvensanalysens afsnit 6 vedrører identifikation og evaluering af risici, og afsnit 7 vedrører identifikation af foranstaltninger til at håndtere risici. Disse afsnit er omtalt nærmere under punkt 3.2.1. ovenfor.

I konsekvensanalysens afsnit 8 fremgår det, at det på baggrund af den nye samlede residualrisiko er Frederikshavn Kommunes vurdering, at der ikke er pligt til at foretage en forudgående høring af Datatilsynet.

Det fremgår af afsnit 10 i konsekvensanalysen, at ledelsen har besluttet at godkende, at behandlingen kan påbegyndes, såfremt de i konsekvensanalysen mitigerende foranstaltninger bliver implementeret.

Endelig fremgår det af konsekvensanalysens afsnit 11, at der årligt foretages vedligehold/ajourføring af konsekvensanalysen, og hvilken medarbejder ajourføringen foretages af.

3.3. Anmeldte brud på persondatasikkerheden vedrørende AULA

Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.

I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.

En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.

Ved en søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget tre anmeldelser af brud på persondatasikkerheden fra Frederikshavn Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.

Den første af anmeldelserne vedrører uautoriseret adgang til oplysninger, hvor en elev har delt sine login-oplysninger til AULA med en anden person, der har logget ind på AULA og udnyttet oplysninger, der var tilgængelige for vedkommende.

Den anden anmeldelse vedrører utilsigtet videregivelse af personoplysninger om en elev i en besked, der er sendt til eleverne i en klasse i stedet for til en lærer på skolen. Beskeden indeholdt oplysninger om lærerens bekymring for en elev.

Den tredje anmeldelse vedrører utilsigtet videregivelse af personoplysninger om en elev i en besked, der skulle have været sendt til den pågældende elevs forældre, men som i stedet blev sendt til nogle andre forældre. Beskeden indeholdt oplysninger om elevens vanskeligheder samt oplysninger om indstilling til Pædagogisk Psykologisk Rådgivning (PPR). Beskeden indeholdt derudover helbredsoplysninger om elevens ene forælder og søskende.

4. Begrundelse for Datatilsynets afgørelse

4.1. Risikovurdering

Datatilsynet lægger til grund, at Frederikshavn Kommune har tilsluttet sig de fremsendte risikovurderinger for AULA, som KOMBIT har udarbejdet, og at Frederikshavn Kommune i deres konsekvensanalyse har forholdt sig til de risici, som er identificeret i risikovurderingerne.

4.1.1. Relevante regler

Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.

Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2 for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.

Blandt andet artiklerne 25, 35 og 36, kræver at overvejelserne om de involverede risici for de registreredes rettigheder, skal ske inden behandlingerne igangsættes.

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.

Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.

4.1.2. Generelt om krav til risikovurdering

Datatilsynet bemærker, at det ikke fremgår af databeskyttelsesforordningen, hvor detaljeret risikovurderingen skal være. Det er Datatilsynets opfattelse, at den dataansvarlige må fastlægge et passende niveau henset til de risici, som er relevante for den dataansvarliges behandling af personoplysninger.

Såfremt en leverandør, databehandler eller tilgængelige analyser fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Særligt når behandlingsaktiviteter i et system bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i den behandling af personoplysninger, der sker hos den dataansvarlige.

Det fremgår ikke eksplicit noget sted i databeskyttelsesforordningen, hvordan dokumentationen skal se ud, hvad det konkrete indhold skal være, eller hvad hyppigheden for ajourføring og opdatering skal være.

Datatilsynets opfattelse er, at dokumentationsforpligtelsen indebærer, at tilsynsmyndigheden – ud af det samlede materiale, som den dataansvarlige kan fremlægge – kan foretage en vurdering af, om behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det bør således fremgå af det fremlagte materiale, hvordan og på hvilket grundlag de databeskyttelsesretlige overvejelser er truffet. Dette er bl.a. i forhold til behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.

Derudover bør det fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante overvejelser og handlinger er sket.

Det er Datatilsynets opfattelse, at en risikovurdering bør indeholde en vurdering af konsekvensen (f.eks. høj, medium, lav) for de registrerede ved tab af fortrolighed, tilgængelighed og integritet. Herefter skal det i risikovurderingen identificeres, hvilke trusler der er for tab af fortrolighed, tilgængelighed og integritet samt sandsynligheden (f.eks. høj, medium, lav) for, at truslen bliver realiseret. Endelig skal der i risikovurderingen ske en kortlægning af de eksisterende sikkerhedsforanstaltninger og deres bidrag til at reducere risikoen. På den baggrund kan de dataansvarlige vurdere risikoen og tage stilling til, om det er en acceptabel risiko, eller om der skal iværksættes yderligere foranstaltninger. Ved at forholde sig til disse elementer i en risikovurdering kan de dataansvarlige således dokumentere, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.

4.1.3. Frederikshavn Kommunes identificering og vurdering af risici

Efter en stikprøvevis gennemgang af de fremsendte risikovurderinger fra KOMBIT vedrørende de fem dataprocesser og 12 moduler i AULA samt en gennemgang af den fremsendte konsekvensanalyse kan Datatilsynet konstatere, at Frederikshavn Kommune har identificeret en række risici, herunder 27 høje risici, 195 medium risici, samt en række lave risici, som Frederikshavn Kommune vurderer, at behandlingen af personoplysninger i AULA udgør for de registrerede. I den forbindelse ses Frederikshavn Kommune i forhold til en række trusler at have foretaget en vurdering af konsekvensen for de registrerede ved tab af fortrolighed, integritet og tilgængelighed og en vurdering af sandsynligheden for, at truslerne realiseres. I konsekvensanalysen er der redegjort for de fire forskellige evalueringskriterier for henholdsvis sandsynlighed og konsekvens.

Datatilsynet finder på den baggrund, at Frederikshavn Kommune har påvist at have identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Frederikshavn Kommune ses således at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter.

4.1.4. Frederikshavn Kommunes beskrivelse af sikkerhedsforanstaltninger

KOMBIT’s risikovurderinger ses ikke at indeholde en beskrivelse af de foranstaltninger, der er eller vil blive implementeret med henblik på at nedbringe de identificerede risici. En sådan beskrivelse er imidlertid indeholdt i Frederikshavn Kommunes konsekvensanalyse i forhold til de 27 høje risici.

Det fremgår af Frederikshavn Kommunes konsekvensanalyses afsnit 7.1, at det for hver enkelt identificeret risiko – der er vurderet som høj eller medium – er angivet, hvorvidt risikoen er elimineret, reduceret eller accepteret. Ved en gennemgang af Frederikshavn Kommunes beskrivelse af foranstaltninger kan Datatilsynet konstatere, at Frederikshavn Kommune i forhold til de 27 høje risici har beskrevet deres valg af foranstaltninger for at håndtere risikoen, angivet hvad effekten af foranstaltningerne er, og angivet hvad restrisikoen er efter de implementerede foranstaltninger. I forhold til alle de høje risici fremgår det, at effekten er, at risikoen er reduceret fra at være høj til at være medium.

Det fremgår imidlertid ikke, hvordan Frederikshavn Kommune har vurderet risikoen efter de implementerede foranstaltninger. Datatilsynet går ud fra, at kommunen har vurderet, at sandsynligheden er reduceret som følge af de implementerede foranstaltninger. Dette er bl.a. på baggrund af det anførte i konsekvensanalysens afsnit 9 med dokumentation af databeskyttelsesrådgiverens synspunkter, hvor det fremgår, at gennem implementering af organisatoriske foranstaltninger, har kommunen vurderet, at de kritiske og/eller meget kritiske risici med en sandsynlighed, der lå over "Mindre sandsynlig", var reduceret, således at restrisikoen endte på "mellem".

Det fremgår heller ikke, hvor sandsynligt kommunen vurderer det er, at de enkelte trusler realiseres efter de implementerede foranstaltninger ud fra deres evalueringskriterier for sandsynlighed (forventet, sandsynlig, mindre sandsynlig eller usandsynlig). Under forudsætning af at den reducerede risiko skyldes en nedbragt sandsynlighed, er det dog muligt ud fra risikokortet i konsekvensanalysen at finde frem til, hvad Frederikshavn Kommune har vurderet at sandsynligheden er reduceret til i forhold til de enkelte risici, efter at kommunen har implementeret de oplistede foranstaltninger.

Frederikshavn Kommune ses endvidere ikke at have forholdt sig til i konsekvensanalysen, om der skal implementeres mitigerende foranstaltninger i forhold til de 195 medium risici. Det fremgår af Frederikshavn Kommunes konsekvensanalyse, at ledelsen har godkendt, at behandlingen kan påbegyndes, såfremt de i konsekvensanalysen mitigerende foranstaltninger bliver implementeret. De mitigerende foranstaltninger, der er beskrevet i konsekvensanalysen vedrører alene de 27 høje risici. Datatilsynet går således ud fra, at ledelsen har accepteret de 195 medium risici.

Datatilsynet har derudover konstateret ved en overordnet gennemgang af de beskrevne foranstaltninger, at foranstaltningerne umiddelbart ses at være relevante i forhold til at nedbringe de forskellige risici. Det fremgår imidlertid ikke entydigt, om de forskellige foranstaltninger er tilstrækkelige i forhold til at nedbringe de pågældende risici fra høj til medium.

Det fremgår af konsekvensanalysens afsnit 9 med overskriften ”Dokumentation af DPO’ens synspunkter”, at kommunens fokus og løsning for mitigerende handlinger har været centreret omkring styring af adgange gennem procedurer, samt uddannelse og awareness af både per-sonale og elever.

Datatilsynet har i den forbindelse konstateret, at størstedelen af de implementerede foranstaltninger er organisatoriske foranstaltninger. Som eksempel herpå kan Datatilsynet nævne, at Frederikshavn Kommune har anført følgende foranstaltning om undervisning vedrørende databeskyttelsesforordningen af superbrugere og i forbindelse med onboarding af medarbejdere som den eneste foranstaltning, der er implementeret med henblik på at nedbringe 16 af de 27 høje risici:

”Der er undervist i reglerne omkring GDPR for alle superbrugere og pædagogisk personale ved onboarding af systemet. Superbrugerne samt afdelingsledere har ansvaret for oplæring af nye medarbejdere i Aula”

Datatilsynet har herefter særligt gennemgået de foranstaltninger, der er beskrevet i forhold til de tre høje risici, som behandlingen af personoplysninger i AULA’s besked-modul indebærer. Disse risici er også fremhævet ovenfor under punkt 3.2.1.

Ad risiko 15 og 16

I forhold til de to første af disse risici (brugeradfærd, der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen og utilsigtet procesfejl, der medfører forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen) er ovenstående foranstaltning om undervisning om databeskyttelsesforordningen angivet som den eneste foranstaltning.

Det fremgår af konsekvensanalysen, at Frederikshavn Kommune vurderer, at disse risici er nedbragt til at være medium efter de implementerede foranstaltninger. På baggrund af risikokortet i konsekvensanalysen går Datatilsynet ud fra, at Frederikshavn vurderer, at sandsynligheden er nedbragt fra kategorien ”Forventet” og til kategorien ”Mindre sandsynlig” efter de implementerede foranstaltninger.

Datatilsynet kan imidlertid konstatere, at der i hvert fald i ét tilfælde ikke ses at være entydig sammenhæng mellem det i konsekvensanalysen beskrevne omkring kriterierne for vurdering af sandsynligheden og de realiserede risici.

Evalueringskriterierne i konsekvensanalysen for sandsynligheden er i forhold til kategorien ”Mindre sandsynlig” følgende:

”Mindre sandsynlig: Hændelsen kan risikere at forekomme

Man har erfaring med hændelsen internt, for nogle år siden.
Kendes fra andre offentlige og private virksomheder i Danmark.”

Til sammenligning kan Datatilsynet nævne, at evalueringskriterierne for sandsynligheden i forhold til kategorien ”Sandsynlig” er følgende:

”Sandsynlig: Det er sandsynligt at hændelsen vil forekomme

- Man har erfaring med hændelsen internt, men ikke inden for de sidste 12 måneder.

- Kendes fra andre offentlige og private virksomheder i Danmark (hændelsestypen omtales årligt i pressen).

I den forbindelse bemærker Datatilsynet, at tilsynet som nævnt ovenfor under punkt 3.3. har konstateret, at Frederikshavn Kommune har anmeldt et brud på persondatasikkerheden til Datatilsynet vedrørende utilsigtet videregivelse af personoplysninger om en elev i en besked, der skulle have været sendt til den pågældende elevs forældre, men som i stedet blev sendt til nogle andre forældre. Hændelsen skete den 4. marts 2022 og dermed ca. otte måneder før udarbejdelsen af konsekvensanalysen, der er dateret den 3. november 2022.

Derudover bemærker Datatilsynet, at tilsynet forsat jævnligt modtager anmeldelser af brud på persondatasikkerheden i AULA fra landets kommuner, herunder om hændelser hvor oplysninger utilsigtet videregives til uvedkommende i f.eks. beskeder.

Frederikshavn Kommune ses i øvrigt ikke at have forholdt sig til risikoen for, at elever og forældre til børn i skoler og daginstitutioner, som er en del af de autoriserede brugere i AULA, fremsender en besked med (følsomme eller fortrolige) personoplysninger til forkerte modtagere.

I den forbindelse bemærkes det, at det bl.a. fremgår af det fremsendte dokument med titlen ”Vurdering af risiko og konsekvens – modul besked”, at KOMBIT vurderer, at alle kommuner skal sikre, at alle brugere (og dermed ikke alene superbrugere og medarbejdere der onboardes) bliver uddannet i at undgå utilsigtet videregivelse i personoplysninger i beskeder i AULA samt i, hvordan de håndterer og korrekt klassificerer følsomme beskeder i besked-modulet. Frederikshavn Kommune har ikke i deres risikovurdering i konsekvensanalysen forholdt sig til KOMBIT’s vurdering af, hvilke foranstaltninger kommunerne skal implementere. Frederikshavn Kommune har således ikke at have redegjort nærmere for, hvorfor foranstaltningen ikke er relevant i forhold til Frederikshavn Kommunes brug af AULA.

Datatilsynet finder på den baggrund, at Frederikshavn Kommune ikke har godtgjort, at kommunen alene med implementering af undervisning om databeskyttelsesforordningen af superbrugere samt ved onboarding har sikret, at sandsynligheden for at der utilsigtet sker videregivelse af personoplysninger til uvedkommende i AULA’s besked-modul, f.eks. ved fremsendelse af en besked til en forkert modtager, er nedbragt fra ”Forventet” til ”Mindre sandsynlig”, således at risikoen herfor er nedbragt fra høj til medium.

Ad risiko 17

I forhold til den tredje risiko vedrørende beskedmodulet, der er fremhævet ovenfor i afsnit 3.2.1. (utilsigtet procesfejl, hvor der er forkerte adgange grundet manglende eller uklare politikker) er følgende foranstaltning angivet i konsekvensanalysen:

Det fremgår af konsekvensanalysen, at Frederikshavn Kommune vurderer, at denne risiko er medium efter de implementerede foranstaltninger. På baggrund af risikokortet i konsekvensanalysen går Datatilsynet ud fra, at Frederikshavn vurderer, at sandsynligheden er nedbragt fra kategorien ”Forventet” og til kategorien ”Mindre sandsynlig” efter den implementerede foranstaltning.

Datatilsynet bemærker, at det bl.a. fremgår af det fremsendte dokument med titlen ”Vurdering af risiko og konsekvens – modul besked”, at KOMBIT vurderer, at alle kommuner skal have en klar adgangspolitik og praksis for løbende brugeradministration i AULA samt særligt fokus på løbende at vedligeholde bruger- eller systemadgang, når der sker ændringer som følge af ændret ansættelsesforhold og ændrede integrationer til Aula. Frederikshavn Kommune har ikke i deres risikovurdering i konsekvensanalysen forholdt sig til KOMBIT’s vurdering af, hvilke foranstaltninger kommunerne skal implementere. Frederikshavn Kommune har således ikke at have redegjort nærmere for, hvorfor foranstaltningen ikke er relevant i forhold til Frederikshavn Kommunes brug af AULA.

Datatilsynet finder, at Frederikshavn Kommune ikke har godtgjort, at de ved alene at henvise til at oprettelse og sletning af brugere er en manuel sagsgang, og at det er ledernes ansvar løbende at kontrollere brugeradgangene i daglig praksis, særligt ved ansættelsesophør, har sikret, at sandsynligheden for at der er forkerte adgange til oplysningerne i AULA er nedbragt fra at være ”Forventet” til at være ”Mindre sandsynlig”, således at risikoen herfor er nedbragt fra høj til medium.

Datatilsynet har i den forbindelse særligt lagt vægt på, at det ikke fremgår af konsekvensanalysen, at der er etableret procedurer for regelmæssig kontrol af autorisationer og etablerede adgange.

4.1.5. Særligt vedrørende risiko for fejlfremsendelse i AULA’s beskedmodul

Det er generelt Datatilsynets opfattelse, at dataansvarlige der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

På den baggrund skal Datatilsynet anbefale, at Frederikshavn Kommune sammen med KOMBIT og de øvrige dataansvarlige kommuner foretager en sådan undersøge. Dette er særligt henset til, at AULA's brugere ofte er personer, der ikke som sit primære virke arbejder med databeskyttelse (undervisere, pædagogisk personale samt forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud – kan indebære, at der bør stilles skærpede krav til den dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger jf. artikel 32

Datatilsynet kan i den forbindelse nævne, at tilsynet har konstateret, at AULA’s beskedmodul er indrettet på en måde, så det i beskeder, der er sendt til flere modtagere, er mest oplagt at svare alle personer i beskedtråden. Der er et mindre synligt felt, hvor det er muligt at svare afsenderen af beskeden direkte. I feltet hvor brugeren svarer alle i beskedtråden, er der dog information om, hvor mange personer brugeren svarer. En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af AULA utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere.

Derudover har Datatilsynet konstateret, at der automatisk opstilles forslag til modtagere, når brugeren begynder at skrive i modtagerfeltet ”Til”. Det er i den forbindelse både medarbejdere, børn og forældre, der foreslås som modtagere. Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager.

4.1.6. Særligt vedrørende rettighedsstyring og kontrol af adgange

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige for de pågældende brugeres behov.

Datatilsynet skal i den forbindelse bemærke, at rettighedsstyring i systemer med personoplysninger skal forhindre uautoriseret adgang til personoplysninger samt uautoriseret ændring eller tab af personoplysninger i systemet i tilfælde, hvor brugere har adgang til at ændre eller slette oplysninger.

Det er i den forbindelse Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige og beskyttelsesværdige oplysninger om et stort antal personer skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

Det er desuden Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer, om adgange til systemer og fysisk materiale med personoplysninger er begrænset til de brugere, der har et sagligt behov for adgang til oplysningerne.

Det følger af artikel 32, stk. 1, litra d, at der, hvis det er relevant, skal etableres procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Periodisk kontrol (revision) skal efter omstændighederne også omfatte kontrol af autorisationer og etablerede adgange. Det skal i tilknytning hertil bemærkes, at manglende periodisk kontrol (revision) efter Datatilsynets opfattelse indebærer en unødig høj risiko for, at utilstrækkelig eller mangelfuld adgangskontrol ikke identificeres rettidigt.

Det er herudover Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at dette behov stadig er til stede og en form for auditering heraf. Såfremt auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.

4.1.7. Samlet vurdering vedrørende risikovurdering

Datatilsynet har ved valg af reaktion lagt vægt på, at Frederikshavn Kommune har foretaget en risikovurdering af AULA, hvor kommunen har arbejdet med og forsøgt at nedbringe de identificerede risici. Frederikshavn Kommune har efter det oplyste i 2018 – og dermed før ibrugtagningen af AULA – foretaget en vurdering af, om KOMBIT’s risikovurderinger var fyldestgørende, og om de afveg fra kommunens vurderinger. Det er imidlertid først med risikovurderingen i kommunens konsekvensanalyse, som er dateret den 3. november 2022, at Frederikshavn Kommune har dokumenteret deres vurderinger i forhold til implementeringen af foranstaltninger, der skal nedbringe de høje risici. Det er dermed næsten tre år efter, at KOMBIT har oplyst kommunerne om deres dataansvar for AULA.

Frederikshavn Kommunes risikovurdering i konsekvensanalysen er efter Datatilsynets opfattelse i øvrigt ikke tilstrækkelig detaljeret, da kommunen ikke har forholdt sig til KOMBIT’s vurdering af, hvilke foranstaltninger der er nødvendige for at nedbringe de høje risici, og da kommunen ikke har forholdt sig til, om der skal implementeres mitigerende foranstaltninger i forhold til de 195 medium risici.

4.2. Konsekvensanalyse

4.2.1. Krav om konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse^[7] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse.

Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger.

Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan.

Konsekvenserne for de registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.

Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.

Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse, sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

På baggrund af ovenstående er Datatilsynet enig med Frederikshavn Kommunes vurdering af, at behandlingen af personoplysninger i AULA indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at behandlingsaktiviteterne der foretages i AULA er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse forud for ibrugtagningen af AULA.

4.2.2. Tidspunkt for udarbejdelse af konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.

Datatilsynet lægger til grund, at Frederikshavn Kommunes konsekvensanalyse er udarbejdet den 3. november 2022, da denne dato er anført på konsekvensanalysens forside.

Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.

Som anført ovenfor under punkt 1 har Datatilsynet konstateret på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke er at betragte som dataansvarlig, og derfor har tilsynet oplyst KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT skal overdrage alt nødvendigt materiale og information til kommunerne i den anledning.

Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at Frederikshavn Kommunes konsekvensanalyse ikke har været udarbejdet forud for deres behandling af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Frederikshavn Kommune ved ibrugtagning af AULA var af den opfattelse, at KOMBIT var dataansvarlig for behandlingen af personoplysningerne i løsningen og dermed også ansvarlig for udarbejdelsen af en risikovurdering og konsekvensanalyse.

På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.

Det er således Datatilsynets opfattelse, at Frederikshavn Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT informerede kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og overdrog alt nødvendigt materiale i den forbindelse. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

Datatilsynet kan imidlertid konstatere, at Frederikshavn Kommune først ses at have udarbejdet en konsekvensanalyse i november 2022 og dermed næsten tre år efter, at der var klarhed om dataansvaret for AULA. Datatilsynet kan derudover konstatere, at konsekvensanalysen er udarbejdet efter, at Datatilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.

Det er Datatilsynets opfattelse, at Frederikshavn Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.

Datatilsynet finder på den baggrund, at Frederikshavn Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA næsten tre år efter, at kommunen er blevet opmærksom på, at de er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.

4.2.3. Minimumskrav til konsekvensanalyser

Databeskyttelsesforordningens artikel 35 indeholder en række krav, som en konsekvensanalyse som minimum skal opfylde. Disse krav følger af stk. 7 og omfatter følgende:

en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Databeskyttelsesforordningens regler om konsekvensanalyse skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.

En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.

Databeskyttelsesforordningen giver de dataansvarlige fleksibilitet til at fastlægge den nøjagtige struktur og form af konsekvensanalysen vedrørende databeskyttelse. Men uanset formen skal en konsekvensanalyse vedrørende databeskyttelse indeholde ovenstående mindstekrav og dermed være en egentlig vurdering af risici, der gør det muligt for de dataansvarlige at træffe foranstaltninger for at afhjælpe dem.

Datatilsynet har gennemgået Frederikshavn Kommunes konsekvensanalyse i forhold til mindstekravene i databeskyttelsesforordningens artikel 35, stk. 7.

Det er tilsynets samlede vurdering, at Frederikshavn Kommunes ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a og d.

Nedenfor følger Datatilsynets vurdering af konsekvensanalysen i forhold til de enkelte mindstekrav, der følger af artikel 35, stk. 7, litra a-d.

Ad a) Systematisk beskrivelse af behandlingsaktiviteter og formål

Det er Datatilsynets opfattelse, at kravet om en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a, indebærer, at de dataansvarlige skal foretage en systematisk beskrivelse af de forskellige former for behandling, f.eks. indsamling, registrering, videregivelse mv., som personoplysningerne vil blive genstand for samt en klar beskrivelse og definition af de personoplysninger, som behandles. Derudover indebærer kravet, at konsekvensanalysen skal indeholde en beskrivelse af formålet med behandlingen.

Det er derudover Datatilsynets opfattelse, at en systematisk beskrivelse bør indeholde oplysninger om det retlige grundlag, der er for behandlingen (hjemmel), hvilke kategorier af registrerede der behandles oplysninger om, antallet af registrerede, information om hvor oplysningerne kommer fra, hvem – inden for og uden for organisationen – der kan tilgå oplysningerne, hvor længe oplysningerne opbevares, om der sker overførsel af oplysninger til tredjelande (og på hvilket grundlag), og om der anvendes nye teknologier til behandlingen af personoplysninger. Den systematiske beskrivelse skal således bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Datatilsynet skal i den forbindelse henvise til præambelbetragtning nr. 90[8].

Frederikshavn Kommunes konsekvensanalyse indeholder bl.a. information om det retlige grundlag for behandlingen, kategorier af registrerede der behandles oplysninger om i AULA, information om hvor oplysningerne kommer fra, hvilke personalegrupper inden for organisationen der har adgang til data i AULA, hvor længe der behandles personoplysninger (tidsmæssig udstrækning) og en angivelse af at der ikke anvendes ny teknologi til behandling af personoplysninger.

I forhold til overførsel af personoplysninger til tredjelande fremgår det, at al behandling af personoplysninger, som Netcompany foretager i relation til AULA, sker inden for EU/EØS, og at der heller ikke overføres personoplysninger til tredjelande ved brug af Amazon Web Services (herefter AWS). I den forbindelse fremgår det, at der – på baggrund af et møde mellem Datatilsynet, KL og Kombit om problemstillingen vedrørende tilsigtet/utilsigtet tredjelandsoverførsel er opstartet dialog herom mellem AWS, Netcompany og KOMBIT, og at dialogen fortsat pågik på tidspunktet for opdatering af konsekvensanalysen.

Det fremgår af konsekvensanalysen, at der sker indsamling af personoplysninger, herunder hvordan oplysningerne indsamles, og hvad kilderne til data er. Derudover er det beskrevet, hvordan data fra andre registre anvendes. Konsekvensanalysen indeholder imidlertid ikke en systematisk beskrivelse af de forskellige former for behandling i AULA, f.eks. registrering, videregivelse mv., som personoplysningerne derudover vil blive genstand for.

Frederikshavn Kommunes konsekvensanalyse indeholder en angivelse af, hvilke typer personoplysninger der behandles i AULA. Det fremgår, at der behandles både almindelige og følsomme personoplysninger samt CPR-numre i AULA. Det er i den forbindelse nærmere angivet, hvilke kontaktoplysninger der behandles, og at det er muligt at uploade et profilbillede. Det fremgår videre, at de enkelte institutioner vælger, hvilke yderligere data om barnet, der er behov for at bede brugerne udfylde, og at disse indberettes som supplerende stamdata eller tilladelser.

For så vidt angår de særlige kategorier af personoplysninger (følsomme personoplysninger) angiver Frederikshavn Kommune, at der i beskeder og modulet ”sikker fildeling” vil forekomme følsomme personoplysninger. Det er imidlertid ikke nærmere angivet, hvilke følsomme personoplysninger, f.eks. helbredsoplysninger eller oplysninger om religiøs overbevisning, der kan være indeholdt i beskeder og modulet ”sikker fildeling”. Det er Datatilsynets forståelse, at det er brugerne af AULA, herunder forældre og elever, der anvender disse moduler i deres kommunikation med skole eller daginstitution, og at kommunen derfor ikke nødvendigvis kan forudsige præcis, hvilke eksempler på følsomme personoplysninger modulerne vil indeholde.

Det er imidlertid Datatilsynets opfattelse, at Frederikshavn Kommune i deres beskrivelse af behandlingsaktiviteterne kan tage udgangspunkt i deres erfaringer om, hvilke typer oplysninger som beskeder fra pædagogisk personale mv. til forældre og elever typisk indeholder. Særligt da AULA var taget i brug ved Frederikshavn Kommunes udarbejdelse af konsekvensanalysen, er det Datatilsynets opfattelse, at det har været muligt for Frederikshavn Kommune nærmere at beskrive, hvilke følsomme oplysninger der behandles i AULA.

Frederikshavn Kommunes konsekvensanalyse indeholder derudover ikke en angivelse af antallet af registrerede, der behandles oplysninger om i AULA. Det fremgår, at der behandles oplysninger om ca. 5.000 elever med dertilhørende forældre og tilknyttet personale. Det er Datatilsynets opfattelse, at angivelsen af antallet af registrerede bør omfatte alle de kategorier af registrerede, der behandles oplysninger om og dermed ikke alene eleverne. Det bemærkes i den forbindelse, at det fremgår af konsekvensanalysen, at AULA også anvendes af kommunale og selvejende dagtilbud. Datatilsynet går således ud fra, at der også behandles oplysninger om børn i daginstitutioner og deres forældre samt personalet i institutionerne.

Datatilsynet kan konstatere, at Frederikshavn Kommune i konsekvensanalysen har beskrevet formålet med behandlingen. Det følgende fremgår som svar på spørgsmålet om, hvad samtlige forskellige formål med behandlingen er:

”Formålet med behandlingen af persondata i Aula er at stille en kommunikationsplatform til rådighed og dermed give adgang til behandling og opbevaring af data til brug for det daglige arbejde om børn i dagtilbud og eleverne i kommunens skoler i et system, som kan understøtte kommunikations- og læreprocesser i folkeskolen og på dagtilbudsområdet. Der findes således ikke sager, afgørelser, profilering, personaleadministration mv. sted i Aula. Behandlingen af data følger forvaltningens almene praksis inden for skole- og dagtilbudsområdet.”

Det er på den baggrund Datatilsynets vurdering, at Frederikshavn Kommune har beskrevet deres behandlingsaktiviteter i AULA og formålet med behandlingen. Datatilsynet finder imidlertid, at beskrivelsen af behandlingsaktiviteterne ikke er tilstrækkelig detaljeret, da den ikke indeholder oplysninger om alle de forskellige former for behandling af personoplysninger (udover indsamling), der foretages i AULA, hvilke typer følsomme personoplysninger der behandles eller antallet af registrerede. Mindstekravet i artikel 35, stk. 7, litra a er således ikke opfyldt.

Ad b) Vurdering af nødvendighed og proportionalitet

Datatilsynet kan konstatere, at Frederikshavn Kommunes konsekvensanalyse indeholder en vurdering af om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, som er et krav efter artikel 35, stk. 7, litra b. Frederikshavn Kommune har i konsekvensanalysen foretaget en vurdering af, om formålet kan opnås ved at begrænse behandlingen af personoplysninger, om formålet kan opnås ved brug af anonymiserede, aggregerede er pseudonymiserede personoplysninger, om formålet kan opnås ved at behandle mindre detaljerede personoplysninger, og om det kan undgås at behandle følsomme personoplysninger eller oplysninger om strafbare forhold. Derudover har Frederikshavn Kommune i konsekvensanalysen bl.a. taget stilling til, i hvilket omfang de registrerede anses for at kunne forvente behandlingen, hvordan det sikres, at der behandles korrekte personoplysninger, og om oplysningerne slettes, når der henset til formålet ikke længere er et sagligt behov for at behandle dem.

Ad c) og d) Vurdering af risici og foranstaltninger

Frederikshavn Kommunes konsekvensanalyse indeholder derudover en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder samt en beskrivelse af de foranstaltninger, der påtænkes for at imødegå disse risici. Frederikshavn Kommune ses således at have arbejdet med de risici, som behandlingen af personoplysninger i AULA indebærer.

Som anført ovenfor under punkt 4.1.3. er det Datatilsynets vurdering, at Frederikshavn Kommune har påvist at have identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Frederikshavn Kommune ses således at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter. Mindstekravet efter artikel 35, stk. 7, litra c er således opfyldt.

Det er imidlertid herefter Datatilsynets vurdering, at Frederikshavn Kommune ikke har godtgjort, at de foranstaltninger, der er implementeret med henblik på at nedbringe risikoen ved behandlingen af personoplysninger i AULA, er tilstrækkelige til at nedbringe risikoen fra at være høj til at være medium. Der henvises i den forbindelse til afsnit 4.1.4. ovenfor. Det er således Datatilsynets vurdering, at Frederikshavn Kommune ikke har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Det er på den baggrund Datatilsynets vurdering, at konsekvensanalysens indhold vedrørende identifikation af foranstaltninger til at håndtere de identificerede risici ikke er tilstrækkelig i forhold til at opfylde mindstekravet i artikel 35, stk. 7, litra d.

4.2.4. Krav om at rådføre sig hos databeskyttelsesrådgiveren

Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Det følger endvidere af forordningens artikel 39, stk. 1, litra c, at databeskyttelsesrådgiveren som minimum bl.a. skal rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.

Datatilsynet lægger til grund, at Frederikshavn Kommune har rådført sig med kommunens databeskyttelsesrådgiver, da det fremgår af det første afsnit i konsekvensanalysen, at databeskyttelsesrådgiveren har vurderet kommunens brug af databehandlerens (KOMBIT’s) risikovurderinger og konsekvensanalyse, i forhold til om det har givet det ønskede overblik over behandlingen af personoplysninger, og om de implementerede foranstaltninger har været dækkende for at nedbringe den høje restrisiko. Det fremgår videre, at databeskyttelsesrådgiveren vurderer, at Datatilsynet ikke skal høres i medfør af artikel 36, da risikoen er nedbragt fra høj til mellem.

4.2.5. Samlet vurdering vedrørende konsekvensanalyse

Det er Datatilsynets vurdering, at Frederikshavn Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a og d.

På den baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Frederikshavn Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at Frederikshavn Kommune har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA, der indeholder de elementer, der fremgår af artikel 35, stk. 7, litra a-d.

Frederikshavn Kommunes konsekvensanalyse er imidlertid efter Datatilsynets opfattelse ikke tilstrækkelig detaljeret. I den forbindelse bemærker Datatilsynet, at en systematisk beskrivelse af behandlingsaktiviteterne skal bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Derudover er konsekvensanalysens indhold vedrørende identifikation af foranstaltninger til at håndtere de identificerede risici ikke er tilstrækkelig i forhold til at opfylde mindstekravet i artikel 35, stk. 7, litra d.

Datatilsynet har derudover lagt vægt på tidspunktet for Frederikshavn Kommunes udarbejdelse af konsekvensanalysen.

Datatilsynet bemærker, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt. Det er Datatilsynets opfattelse, at Frederikshavn Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

4.3. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Frederikshavn Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Datatilsynet finder endvidere grundlag for at udtale alvorlig kritik af, at Frederikshavn Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35. stk. 1.

4.4. Datatilsynets generelle bemærkninger

I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.

Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.

Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.

Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.

Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[9]

Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.

I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse

med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at

overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.

Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.

På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/kommunale-opgaver/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet/

[4] KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/

[5] Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/11560/illustration-af-aftaler-om-databehandling-i-og-omkring-bpi.pdf

[6] https://aulainfo.dk/wp-content/uploads/Sletteprocedurer-og-sletteregler-i-Aula-v1.0.pdf

[7] Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017.

[8] Af præambelbetragtning nr. 90 fremgår det følgende: ”I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.”

[9] Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.