Tilsyn med Hillerød Kommune

Dato: 22-12-2023

Datatilsynet har truffet afgørelse i fem tilsynssager vedrørende behandlingssikkerheden i AULA. Datatilsynet fandt anledning til at meddele påbud om udarbejdelse af konsekvensanalyser i to af sagerne. Derudover har tilsynet udtalt kritik og alvorlig kritik i sagerne.

Journalnummer: 2023-423-0009.

Resumé

Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.

”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.

Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.

Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.

Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.

Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA. 

Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.

Konsekvensanalyse

Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.

Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.

De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.

Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.

Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik.  Datatilsynet har udtalt kritik overfor den tredje kommune. 

Risikovurdering

Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.

Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.

De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.

Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.

Risiko for fejlfremsendelse i AULA

Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.

Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder. 

Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.

Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.

Fælles konsekvensanalyse og adfærdskodeks

Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.

I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.

Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.

Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.     

”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.   

1. Skriftligt tilsyn med Hillerød Kommune vedrørende it-systemet AULA

Hillerød Kommune er blandt de seks kommuner, som Datatilsynet i efteråret 2021 udvalgte til at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.

Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

2. Afgørelse

Efter en samlet vurdering af Hillerød Kommunes udtalelser og det fremsendte materiale finder Datatilsynet, at Hillerød Kommune ikke har påvist, at kommunen har identificeret de risici, kommunens behandling af personoplysninger i AULA udgør for de registrerede, ligesom tilsynet ikke finder det påvist, at kommunen har indført passende sikkerhedsforanstaltninger, der beskytter de registrerede mod de risici.

På den baggrund finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Datatilsynet finder endvidere grundlag for at udtale alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1, 1. pkt., da Hillerød Kommune ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA. Hillerød Kommune har oplyst, at de ikke har identificeret konkrete behov for at gennemføre en konsekvensanalyse.

Datatilsynet finder på den baggrund grundlag for at meddele Hillerød Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, er det strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

Datatilsynet bemærker, at det følger af databeskyttelsesforordningens artikel 36, stk. 1, at hvis konsekvensanalysen vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af Hillerød Kommune for at begrænse risikoen, skal Hillerød Kommune høre Datatilsynet.

Hillerød Kommune skal således høre Datatilsynet, hvis Hillerød Kommune i forbindelse med udarbejdelsen af konsekvensanalysen vurderer, at de ikke kan afhjælpe de identificerede risici på fyldestgørende vis, da residualrisiciene fortsat er høje.

3. Sagsfremstilling

Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Hillerød Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:

  • De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
  • I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
  • En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
  • En gennemgang af autorisations- samt adgangsstyringsmodeller.

Hillerød Kommune er den 5. november 2021 fremkommet med en udtalelse til sagen samt en række bilag. Derudover har Hillerød Kommune fremsendt yderligere en række bilag den 1. juli 2022, som det ikke var muligt for Datatilsynet at åbne ved den første fremsendelse.

Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Hillerød Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.

Datatilsynet har herefter ved breve af 6. december 2022 og 8. februar 2023 stillet en række uddybende spørgsmål til Hillerød Kommune i forhold til kommunens besvarelse vedrørende risikovurderinger. Kommunen har besvaret disse spørgsmål den 5. og 9. januar 2023 samt den 3. marts 2023.

3.1. Generelt om beslutning og udvikling af AULA

Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3]  Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.

KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. Derudover fremgår det af KL’s hjemmeside, at AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT A/S (herefter KOMBIT), i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet AULA i samarbejde med firmaerne Frog, EduLab og Advice.

KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4] 

Datatilsynet har forstået, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]

3.2. Hillerød Kommunes bemærkninger

3.2.1. Risikovurdering

Hillerød Kommune har oplyst, at Netcompany efter at være blevet tildelt udbuddet iværksatte udviklingen af AULA med afsæt i bl.a. kravspecifikationer, som var tilvejebragt i fællesskab under udbudsforhandleringerne. Hillerød Kommune har fremsendt en række risikovurderinger og oplyst, at der blev arbejdet med udgangspunkt i disse vurderinger.

Derudover har Hillerød Kommune oplyst, at kommunens folkeskoler begyndte at bruge AULA i efteråret 2019, og i løbet af 2020 blev AULA også taget i brug i kommunens daginstitutioner. Hillerød Kommune har i den forbindelse oplyst, at sikkerhedsarbejdet herefter fortsatte, og at det pågår den dag i dag.

Hillerød Kommune har fremsendt 37 bilag med materiale, der blev udfærdiget som led i udformningen af udbudsmaterialet, og som løbende er suppleret i takt med, at AULA er blevet videreudviklet. Materialet indeholder de risikovurderinger, der ligger til grund for hvilken sikkerhed, der generelt er anset for passende for behandlingen af personoplysninger i AULA, og beskrivelserne af de generelle sikkerhedsmodeller, der blev udfærdiget som led i udformningen af udbudsmaterialet.

Det fremgår af et følgebrev til risikovurderingerne og sikkerhedsmodellerne, at KOMBIT har udarbejdet en risikovurdering af AULA i forhold til databeskyttelseslovgivningen, som har til formål at have en risikobaseret tilgang til databeskyttelse af personoplysninger. Det fremgår videre, at KOMBIT har delt denne med kommunerne med henblik på, at den kan udgøre et input til kommunernes arbejde med risikovurdering på skole- og daginstitutionsområdet.  

Endelig fremgår det, at der er foretaget en generel risikovurdering, der består af fem dokumenter, der er opdelt i forhold til dataprocesser for AULA, samt specifikke it-risikovurderinger for 11 udvalgte moduler i AULA som supplement til den generelle risikovurdering. Datatilsynet har forstået på KOMBIT’s materiale, at det er deres vurdering, at behandlingen af personoplysninger i AULA generelt indebærer flere høje risici.

Det fremgår f.eks. i KOMBIT’s risikovurdering for beskedmodulet i AULA, at de har identificeret 10 trusler, hvoraf tre af dem er mest sandsynlige. De tre trusler er markeret som røde, og Datatilsynet forstår på materialet, at KOMBIT har vurderet, at der er tale om høje risici. Én af truslerne vedrører brugeradfærd der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. Konsekvensen er kategoriseret som ”ødelæggende”, og det fremgår bl.a., at børn kan lide væsentlig skade på omdømme, der kan føre til sociale tab. Sandsynligheden er kategoriseret som ”forventet”, og det fremgår bl.a. i den forbindelse, at det er forventet, at der vil være tilfælde, hvor en bruger fejlagtigt får sendt en besked med personoplysninger til en eller flere brugere. F.eks. ved at de sender til en gruppe.

Hillerød Kommune gør i deres udtalelse tilsynet opmærksom på, at disse bilag kun er KOMBIT’s overordnede risikovurderinger, og at Hillerød Kommune har drøftet de identificerede risici og arbejdet med disse på baggrund af lokale forhold. I den forbindelse oplyser Hillerød Kommune, at KOMBIT’s generelle vurdering af at det eksempelvis er forventeligt, at en hændelse indtræder, ikke er udtryk for den endelige risikovurdering, som er drøftet lokalt hos Hillerød Kommune.

Datatilsynet har på den baggrund bedt Hillerød Kommune fremsende daterede kopier af kommunens arbejde med dette, da kommunen ikke ses at have fremsendt de vurderinger, kommunen konkret har foretaget.

Datatilsynet har endvidere bedt Hillerød Kommunen oplyse, hvad disse lokale vurderinger konkret har givet kommunen anledning til. I den forbindelse har Datatilsynet bedt Hillerød Kommune oplyse, om de har truffet mitigerende foranstaltninger på baggrund af deres lokale vurderinger med det formål at nedbringe risikoen for de registrerede, og i så fald hvilke mitigerende foranstaltninger kommunen har truffet. Hvis Hillerød Kommune ikke har truffet mitigerende foranstaltninger har Datatilsynet bedt Hillerød Kommune oplyse tilsynet om, hvad der er baggrunden for det.

Hillerød Kommune har i deres besvarelse til Datatilsynet henvist til de bilag, som Hillerød Kommune fremsendte i forbindelse med deres oprindelige besvarelse. I den forbindelse har Hillerød Kommune navnlig henvist til kommunens beskrivelse af loginmetoder i AULA, beskrivelser af roller og rettigheder i AULA samt en strategi for anvendelsen af AULA i Hillerød Kommune.

Hillerød Kommune har til deres besvarelse i øvrigt vedlagt 105 bilag og oplyst, at det er som led i kommunens besvarelse af tilsynet. Bilagene indeholder bl.a. breve til medarbejdere og forældre om udskydelse af AULA, widget-vejledninger, vejledning om login med SoloID, forskellige mailkorrespondancer om f.eks. oprettelse af eksterne i AULA samt skemaer i AULA.

Datatilsynet har herefter anmodet kommunen om at forholde sig til følgende høje risici ved kommunens brug af AULA, som fremgår af det tidligere fremsendte materiale, at KOMBIT har identificeret:

  1. Manglende adgangskontrol eller fejl i denne
  2. Fejlhåndtering af personoplysninger i systemet/løsningen, foretaget af en autoriseret bruger
  3. Forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen
  4. Forkerte adgange grundet manglende eller uklare politikker
  5. Anvendelse af utilstrækkelig beskyttet brugernavn og adgangskode

I den forbindelse har Datatilsynet anmodet Hillerød Kommune oplyse, om kommunen har truffet – og i så fald hvilke – mitigerende foranstaltninger for at nedbringe disse høje risici, eller hvad baggrunden er for, at kommunen ikke har truffet mitigerende foranstaltninger, hvis det er tilfældet.

Hillerød Kommunen har i besvarelsen heraf til Datatilsynet oplyst, at KOMBIT’s materiale alene er udtryk for en leverandørs synspunkt, og at kommunen på ingen vis er forpligtet til at forholde sig til eller i øvrigt tage materialet til indtægt. I den forbindelse har Hillerød Kommune oplyst, at kommunen har orienteret sig i materialet men konkluderet, at dets beskaffenhed var og er af så ringe kvalitet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Hillerød Kommune har derfor drøftet materialet lokalt og revurderet dette på baggrund af de lokale forhold.

Hillerød Kommune har bemærket, at der generelt bør udvises agtpågivenhed ved anvendelse af risikomateriale fra leverandører, da disse ofte har vægtede interesser så som ønsker om mersalg, hvorfor leverandørerne ofte har ”løsninger” på de ”problemer”, de selv har identificeret.

Herefter har Hillerød Kommune henvist til de tidligere fremsendte bilag som dateret dokumentation for, hvilke mitigerende foranstaltninger, Hillerød Kommune har truffet med det formål at nedbringe risikoen for de registrerede som led i implementeringen og anvendelsen af AULA.

Hillerød Kommune har i den forbindelse oplyst, at de mitigerende foranstaltninger er af såvel teknisk som organisatorisk art og vedrører bl.a. undervisning, oplæring og awareness-tiltag for Hillerød Kommunes registrerede, herunder eksempelvis superbrugere, ansatte og borgere. De mere tekniske mitigerende foranstaltninger vedrører tilrettelæggelse og oprettelse af brugergrupper, implementering af brugerrettighedsstyring, multi-faktor-autentifikation, backup og logning. Hillerød Kommune har som supplement til de tidligere fremsendte bilag vedlagt endnu et bilag med titlen ”Uddannelsesforløb for administrative superbrugere”. 

Hillerød Kommune har bemærket, at de savner Datatilsynets juridiske redegørelse for, hvilke bestemmelser i databeskyttelsesforordningen, der præcis ligger til grund for en forpligtelse til at have daterede kopier af arbejdet med identificerede risici.

I forhold til materialet fra KOMBIT, hvor de 5 ovennævnte risici er identificeret, har Hillerød Kommune oplyst, at Hillerød Kommune ikke i samarbejde med KOMBIT har identificeret disse risici. Derudover har Hillerød Kommune oplyst, at der ikke er tale om risici men derimod sårbarheder og trusler, som defineret i ISO27000 afsnit 2.89, punkt 2.83 og eksemplificeret i ISO 27005 Annex C og Annex D. Hillerød kommune har i den forbindelse bemærket, at der først er tale om en risiko, når en relevant sårbarhed er koblet til en relevant trussel.  Hillerød Kommune har endvidere oplyst, at kommunen i intet omfang anerkender, at punkterne er udtryk for ”høje risici”.

Hillerød Kommune er herefter fremkommet med bemærkninger til de 5 ovennævnte risici, der fremgår af KOMBIT’s materiale. Hillerød Kommune bemærker i den forbindelse, at det alene er udtryk for en teoretisk øvelse udført af Hillerød Kommune på Datatilsynets opfordring.

3.2.2. Konsekvensanalyse

I forhold til Datatilsynets spørgsmål om konsekvensanalyse vedrørende databeskyttelse har Hillerød Kommune oplyst, at der hverken i forbindelse med tilblivelsen af udbudsmaterialet, den konkrete implementering eller på baggrund af de seneste risikovurderinger blev identificeret konkrete behov for at gennemføre konsekvensanalyser, jf. databeskyttelsesforordningens artikel 35. 

3.3. Anmeldte brud på persondatasikkerheden vedrørende AULA

Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.

I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger, om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.

En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.

Ved en søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget 18 anmeldelser af brud på persondatasikkerheden fra Hillerød Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.

Flere af anmeldelserne vedrører utilsigtet videregivelse af personoplysninger i systemet, hvor personoplysninger er sendt til en eller flere forkerte modtagere i AULA. Der er både tilfælde, hvor en besked med fortrolige oplysninger om en elev er sendt til en anden elevs forældre, og hvor en besked er sendt til en hel forældregruppe i stedet for den pågældende elevs forældre. Der er også tilfælde, hvor filer med personoplysninger om elever ved en fejl er vedhæftet opslag på AULA.

Derudover vedrører flere af anmeldelserne uautoriseret adgang til personoplysninger i AULA, herunder oplysninger om hvorvidt en kontaktperson har forældremyndighed over et barn og profilbilleder der ikke har været det fornødne samtykke til at vise.

4. Begrundelse for Datatilsynets afgørelse

4.1. Risikovurdering

Datatilsynet lægger på baggrund af Hillerød Kommunes egne oplysninger i sagen til grund, at kommunen har orienteret sig i KOMBITs risikovurderinger, men at kommunen ikke har tilsluttet sig disse som værende udtryk for kommunens risikoovervejelser.

Datatilsynet lægger endvidere til grund, at Hillerød Kommune har drøftet materialet fra KOMBIT lokalt og revurderet dette på baggrund af de forhold, der gør sig gældende for Hillerød Kommune som dataansvarlig. Hillerød Kommune har fremsendt en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen har truffet for at nedbringe risikoen for de registrerede. Datatilsynet lægger til grund, at der ikke er yderligere dokumentation end det til sagen fremsendte.

Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.

Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2, for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.

Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder skal ske inden behandlingerne igangsættes.  

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.

Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.   

Såfremt en leverandør, databehandler eller tilgængelige analyser mv. fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Særligt når behandlingsaktiviteter i et system bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i den behandling af personoplysninger, der sker hos den dataansvarlige.

Det fremgår ikke eksplicit noget sted i databeskyttelsesforordningen, hvordan dokumentationen skal se ud, hvad det konkrete indhold skal være, eller hvad hyppigheden for ajourføring og opdatering skal være.

Datatilsynets opfattelse er, at dokumentationsforpligtelsen indebærer, at tilsynsmyndigheden – ud af det samlede materiale, som den dataansvarlige kan fremlægge – kan foretage en vurdering af, om behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det bør således fremgå af det fremlagte materiale, hvordan og på hvilket grundlag, de databeskyttelsesretlige overvejelser er truffet. Dette er bl.a. i forhold til behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.

Derudover bør det fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante overvejelser og handlinger er sket. 

Efter en samlet gennemgang af alt materialet fra Hillerød Kommune, lægger Datatilsynet til grund, at der ikke er fremlagt en vurdering af, om Hillerød Kommune har truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved behandlingen af personoplysninger i AULA i overensstemmelse med artikel 32, stk. 1.

Datatilsynet lægger – efter en samlet vurdering af det fremlagte materiale – yderligere til grund, at Hillerød Kommune ikke – hvor de afviger fra KOMBIT’s vurdering af risici – har redegjort for, hvorfor de af KOMBIT anførte risikoscenarier ikke forekommer ved kommunens behandlinger af personoplysninger i AULA.

Datatilsynet finder på den baggrund, at Hillerød Kommune ikke har påvist, at kommunen har identificeret de risici, kommunens behandling af personoplysninger i AULA udgør for de registrerede, ligesom tilsynet ikke finder det påvist, at kommunen har indført passende sikkerhedsforanstaltninger, der beskytter de registrerede mod de risici.

Datatilsynet udtaler derfor alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

4.2. Konsekvensanalyse

4.2.1. Krav om konsekvensanalyse

Datatilsynet lægger til grund, at Hillerød Kommune ikke har udarbejdet en konsekvensanalyse efter databeskyttelsesforordningens artikel 35, stk. 1, idet Hillerød Kommune har oplyst, at de ikke har identificeret konkrete behov for at gennemføre en konsekvensanalyse.

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, 1. pkt., at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse[6] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse. 

Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger. 

Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan. 

Konsekvenserne for en registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.

Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.

Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse, sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.   

På baggrund af ovenstående er det Datatilsynets opfattelse, at behandlingen af personoplysninger i AULA sandsynligvis vil kunne indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at en konsekvensanalyse vedrørende databeskyttelse skulle have været foretaget.

4.2.2. Tidspunkt for udarbejdelse af konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.

Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.

Som anført ovenfor under punkt 1 har Datatilsynet konstateret på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke er at betragte som dataansvarlig, og derfor har tilsynet oplyst KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT skal overdrage alt nødvendigt materiale og information til kommunerne i den anledning.

På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.

Det er således Datatilsynets opfattelse, at Hillerød Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT informerede kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og overdrog alt nødvendigt materiale i den forbindelse. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

Det er Datatilsynets opfattelse, at Hillerød Kommune på det tidspunkt skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.

4.2.3. Samlet vurdering vedrørende konsekvensanalyse

Efter en gennemgang af det fremsendte materiale og Hillerød Kommunes udtalelser finder Datatilsynet, at Hillerød Kommune har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1, da Hillerød Kommune ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA. Hillerød Kommune har oplyst, at de ikke har identificeret konkrete behov for at gennemføre en konsekvensanalyse.

Datatilsynet finder derfor, at der er grundlag for at udtale alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

Datatilsynet finder på den baggrund grundlag for at meddele Hillerød Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024.

Datatilsynet har ved valg af reaktion lagt vægt på, at Hillerød Kommune ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA på trods af, at behandlingen af personoplysninger i AULA sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. I den forbindelse har Datatilsynet lagt vægt på, at kommunen kort efter Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 er blevet gjort opmærksom på, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede.

4.3. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Derudover finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Hillerød Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

Datatilsynet finder på den baggrund grundlag for at meddele Hillerød Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024.

4.4. Datatilsynets generelle bemærkninger

I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.

Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.

Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.

Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.

Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[7]

Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.

I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse

med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at

overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.

Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.     

På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).           

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/kommunale-opgaver/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet/

[4]   KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/

[5]   Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/11560/illustration-af-aftaler-om-databehandling-i-og-omkring-bpi.pdf

[6]   Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017. 

[7]   Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.