Tilsyn med Lolland Kommune

Dato: 22-12-2023
Afgørelse Offentlige myndigheder Alvorlig kritik Påbud Tilsyn / egendriftssag Behandlingssikkerhed Grundlæggende principper Risikovurdering og konsekvensanalyse

Datatilsynet har truffet afgørelse i fem tilsynssager vedrørende behandlingssikkerheden i AULA. Datatilsynet fandt anledning til at meddele påbud om udarbejdelse af konsekvensanalyser i to af sagerne. Derudover har tilsynet udtalt kritik og alvorlig kritik i sagerne.

Journalnummer: 2023-423-0007.

Resumé

Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.

”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.

Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.

Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.

Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.

Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA. 

Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.

Konsekvensanalyse

Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.

Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.

De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.

Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.

Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik.  Datatilsynet har udtalt kritik overfor den tredje kommune. 

Risikovurdering

Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.

Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.

De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.

Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.

Risiko for fejlfremsendelse i AULA

Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.

Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder. 

Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.

Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.

Fælles konsekvensanalyse og adfærdskodeks

Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.

I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.

Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.

Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.     

”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.   

1. Skriftligt tilsyn med Lolland Kommune vedrørende it-systemet AULA

Lolland Kommune er blandt de seks kommuner, som Datatilsynet i efteråret 2021 udvalgte til at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.

Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

2. Afgørelse

Efter en samlet vurdering af Lolland Kommunes udtalelser og det fremsendte materiale finder Datatilsynet, at Lolland Kommune ikke har sikret, at der er indført passende foranstaltninger, der beskytter de registrerede mod de identificerede risici. 

Datatilsynet har i den forbindelse noteret, at Lolland Kommunes oplysninger om, at de i januar 2023 endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA.

På den baggrund finder Datatilsynet grundlag for at udtale alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra f og artikel 32, stk. 1.

Det er derudover Datatilsynets vurdering, at Lolland Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte dokumentation, som Lolland Kommune har henvist til i forhold til tilsynets spørgsmål om konsekvensanalyse, ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7.

Det er i den forbindelse Datatilsynets vurdering, at det fremsendte materiale ikke udgør en konsekvensanalyse, og at Lolland Kommune derfor ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA. Datatilsynet har herved lagt særlig vægt på, at Lolland Kommune ikke i det fremsendte materiale ses at have arbejdet med og forsøgt at nedbringe de risici, som behandlingen af personoplysninger i AULA indebærer.                                                                                           

På den baggrund finder Datatilsynet endvidere grundlag for at udtale alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1.

Datatilsynet finder på den baggrund grundlag for at meddele Lolland Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, er det strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

Datatilsynet bemærker, at det følger af databeskyttelsesforordningens artikel 36, stk. 1, at hvis konsekvensanalysen vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af Lolland Kommune for at begrænse risikoen, skal Lolland Kommune høre Datatilsynet.

Lolland Kommune skal således høre Datatilsynet, hvis Lolland Kommune i forbindelse med udarbejdelsen af konsekvensanalysen vurderer, at de ikke kan afhjælpe de identificerede risici på fyldestgørende vis, da residualrisiciene fortsat er høje.

3. Sagsfremstilling

Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Lolland Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:

  • De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
  • I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
  • En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
  • En gennemgang af autorisations- samt adgangsstyringsmodeller.

Lolland Kommune er den 6. november 2021 fremkommet med en udtalelse til sagen samt en række bilag.

Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Lolland Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.

Datatilsynet har herefter ved brev af 6. december 2022 stillet en række uddybende spørgsmål til Lolland Kommune i forhold til kommunens besvarelse vedrørende risikovurdering og konsekvensanalyse. Lolland Kommune har besvaret disse spørgsmål den 9. januar 2023.

3.1. Generelt om beslutning og udvikling af AULA

Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3]  Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.

KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. Derudover fremgår det af KL’s hjemmeside, at AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT A/S (herefter KOMBIT), i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet AULA i samarbejde med firmaerne Frog, EduLab og Advice.

KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4] 

Datatilsynet har forstået, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]

3.2. Lolland Kommunes bemærkninger

3.2.1. Risikovurdering

Lolland Kommune har oplyst, at de ikke har udarbejdet selvstændige risikovurderinger. I den forbindelse har Lolland Kommune oplyst, at de i arbejdet med konsekvensanalyser for AULA har anvendt KOMBIT’s specifikke risikovurderinger af AULA for udvalgte moduler.

Lolland Kommune har til deres besvarelse bl.a. vedlagt 10 Excel ark med titlen ”Konsekvensvurdering” for 10 forskellige moduler i AULA, der er udarbejdet af KOMBIT. Excel arkene indeholder et trusselskatalog, en vurdering af sandsynligheden for at forskellige hændelser indtræffer og konsekvensen for de registrerede, samt en opgørelse af den samlede risiko for de registrerede. Materialet indeholder i øvrigt stamdata med projektnavn, navn på dataproces (f.eks. kommunikation og samarbejde i folkeskolen) samt formålet med dataprocessen i forhold til de forskellige moduler i AULA.

Ifølge Lolland Kommune er de pågældende moduler udvalgt på baggrund af en vurdering af, hvorvidt der behandles informationer, der i medfør af informationernes karakter, omfang, sammenhæng og formål sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. I den forbindelse bemærker Lolland Kommune, at det er udtryk for en risikobaseret tilgang til arbejdet med persondatasikkerheden. 

På baggrund af en stikprøvevis gennemgang har Datatilsynet konstateret, at det vedlagte materiale fra KOMBIT generelt fastslår, at en række behandlingsaktiviteter, der foretages i AULA, indebærer en høj risiko for de registrerede. Det fremgår endvidere af materialet, at det er forventet/sandsynligt, at en række scenarier vil indtræde, som indebærer konsekvenser, der er kategoriseret som ”ødelæggende” eller ”meget alvorlige”.

Det fremgår f.eks. af KOMBIT’s risikovurdering for beskedmodulet i AULA, at de har identificeret 10 trusler, hvoraf tre af dem er mest sandsynlige. De tre trusler er markeret som røde, og Datatilsynet forstår på materialet, at KOMBIT vurderer, at der er tale om høje risici. Én af truslerne vedrører brugeradfærd der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. Konsekvensen er kategoriseret som ”ødelæggende”, og det fremgår bl.a., at børn kan lide væsentlig skade på omdømme, der kan føre til sociale tab. Sandsynligheden er kategoriseret som ”forventet”, og det fremgår bl.a. i den forbindelse, at det er forventet, at der vil være tilfælde, hvor en bruger fejlagtigt får sendt en besked med personoplysninger til en eller flere brugere. F.eks. ved at de sender til en gruppe.

Lolland Kommune ses imidlertid ikke at have forholdt sig til, hvad KOMBIT’s risikovurderingsmateriale konkret har givet Lolland Kommune anledning til som dataansvarlig.

På den baggrund har Datatilsynet bedt Lolland Kommune oplyse, om de har truffet mitigerende foranstaltninger med det formål at nedbringe risikoen for de registrerede. Hvis Lolland Kommune ikke har truffet mitigerende foranstaltninger har Datatilsynet bedt Lolland Kommune oplyse tilsynet om, hvad der er baggrunden herfor er.

Lolland Kommune har i deres besvarelse oplyst, at det i 2022 blev besluttet, at der skulle foretages en opdateret konsekvens- og risikoanalyse i samarbejde med de enkelte skoler for de AULA-moduler, de benytter. I den forbindelse har Lolland Kommune oplyst, at de nye og opdaterede risiko- og konsekvensanalyser ikke ændrer på, at der fortsat foretages behandling af personoplysninger, hvor der er en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Derudover har Lolland Kommune oplyst, at kommunen efterfølgende er påbegyndt opgaven med at få identificeret, hvilke mitigerende handlinger der kan etableres med henblik på at nedbringe risikoen til et acceptabelt niveau. På tidspunktet for kommunens besvarelse den 9. januar 2023 pågik dette arbejde fortsat. Lolland Kommune har i den forbindelse oplyst, at årsagen til at dette arbejde endnu ikke er afsluttet alene skyldes udfordringer med at rekruttere medarbejdere til to vakante stillinger på informationssikkerhedsområdet. 

Det fremgår endvidere af Lolland Kommunes besvarelse, at tre af de identificerede trusler ikke er AULA-specifikke, men at de beskriver en generel risiko, når der administreres roller og adgange til data. Der er tale om følgende trusler:

  • Utilsigtet videregivelse af personoplysninger i applikationen, foretaget af en autoriseret bruger.
  • Læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation.
  • Forkert bruger- eller systemadgang tildelt grundet uklare adgangspolitikker.

I den forbindelse har Lolland Kommune oplyst, at de løbende gennemfører awareness-kampagner, der sigter efter både at øge den generelle forståelse af informationssikkerhed, men også at implementere risiko-konsekvens tankegangen hos den enkelte medarbejder.

Endelig oplyser Lolland Kommune, at det er deres indtryk, at de nuværende risiko- og konsekvensanalyser tegner et billede, der er mere risikofyldt end, hvad praksis egentlig er. Dette er på baggrund af observationer om, at skolerne selv har udvist en risikobaseret tilgang i forhold til administrationen af AULA. Som eksempel herpå fremgår det af deres udtalelse, at en skole i kommunen har oplyst, at det kun er deres medarbejdere, der har adgang til ”sikker fildeling” i AULA, og at forældre kun har adgang til ”sikker fildeling”, hvis de tildeles rollen som bestyrelsesmedlem.

I den forbindelse oplyser Lolland Kommune, at dette vil blive ajourført i forbindelse med arbejdet med at identificere, hvilke mitigerende foranstaltninger der kan etableres med henblik på at nedbringe risikoen til et acceptabelt niveau.

3.2.2. Konsekvensanalyse

I forhold til Datatilsynets spørgsmål om konsekvensanalyser vedrørende databeskyttelse har Lolland Kommune henvist til de 10 vedlagte Excel ark med titlen ”Konsekvensvurdering” for 10 forskellige moduler i AULA, der er udarbejdet af KOMBIT. Disse Excel ark er omtalt nærmere i afsnittet ovenfor.

3.3. Anmeldte brud på persondatasikkerheden vedrørende AULA

Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.

I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger, om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.

En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.

Ved en søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget fire anmeldelser af brud på persondatasikkerheden fra Lolland Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.

Tre af anmeldelserne vedrører uautoriseret adgang til personoplysninger i AULA, herunder oplysninger om hvorvidt en kontaktperson har forældremyndighed over et barn, profilbilleder, der ikke har været det fornødne samtykke til at vise, og indhold i modulet ”sikker fildeling”.

Den sidste anmeldelse vedrører utilsigtet videregivelse af personoplysninger, hvor en medarbejder ved en fejl vælger forkerte modtagere til en besked med oplysninger om et barn.

4. Begrundelse for Datatilsynets afgørelse

4.1. Risikovurdering

Databeskyttelsesforordningen kræver på flere punkter kræver, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.

Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige forholder sig risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2 for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.

Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder, skal ske inden behandlingerne igangsættes.  

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.

Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.   

For at sikre et passende sikkerhedsniveau er det en forudsætning, at de pågældende sikkerhedsforanstaltninger implementeres forud for ibrugtagning af f.eks. en it-løsning, hvor der behandles personoplysninger.

Efter en gennemgang af Lolland Kommunes udtalelser og de vedlagte bilag lægger Datatilsynet til grund, at Lolland Kommune har tilsluttet sig KOMBIT’s risikovurderinger og på den baggrund identificeret de mulige risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Datatilsynet har noteret, at Lolland Kommune efterfølgende har fået indtryk af, at de nuværende risikovurderinger, som KOMBIT har udarbejdet, tegner et billede, der er mere risikofyldt end, hvad praksis egentlig er i kommunen.

Datatilsynet har i øvrigt noteret det af Lolland Kommune oplyste om, at det er blevet besluttet i oktober 2022, at der skal foretages en opdateret konsekvens- og risikoanalyse i samarbejde med de enkelte skoler for de AULA-moduler, som kommunen benytter. Datatilsynet har forstået, at Lolland Kommune på trods af arbejdet med de opdaterede risiko- og konsekvensanalyser er af den opfattelse, at der fortsat foretages behandling af personoplysninger i AULA, hvor der er en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Datatilsynet lægger endvidere til grund, at Lolland Kommune – efter kommunens beslutning i oktober 2022 om, at der skal foretages en opdateret konsekvens- og risikoanalyse – er påbegyndt arbejdet med at identificere, hvilke mitigerende handlinger der kan etableres med henblik på at nedbringe risikoen til et acceptabelt niveau. Datatilsynet har forstået, at dette arbejde endnu ikke var afsluttet i januar 2023, og at Lolland Kommune således ikke på det tidspunkt havde sikret, at der var indført passende sikkerhedsforanstaltninger, der beskytter de registrerede mod de identificerede risici.

Datatilsynet finder på den baggrund, at Lolland Kommune ikke har sikret, at der er indført passende foranstaltninger, der beskytter de registrerede mod de identificerede risici. Datatilsynet udtaler derfor alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra f og artikel 32, stk. 1.

4.2. Konsekvensanalyse

4.2.1. Krav om konsekvensanalyse

Som anført ovenfor i under punkt 4.1. har Datatilsynet forstået på Lolland Kommunes udtalelse, at kommunen vurderer, at behandlingen af personoplysninger i AULA sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, 1. pkt., at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse[6] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse. 

Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger. 

Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan. 

Konsekvenserne for en registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.

Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.

Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse, sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.   

På baggrund af ovenstående er Datatilsynet enig med Lolland Kommunes vurdering af, at behandlingen af personoplysninger i AULA indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at behandlingsaktiviteterne der foretages i AULA er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse forud for ibrugtagningen af AULA.

4.2.2. Minimumskrav til konsekvensanalyser

Databeskyttelsesforordningens artikel 35 indeholder en række krav, som en konsekvensanalyse som minimum skal opfylde. Disse krav følger af stk. 7 og omfatter følgende:

  1. en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
  2. en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
  3. en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
  4. de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Databeskyttelsesforordningens regler om konsekvensanalyse skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.

En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.

Datatilsynet har gennemgået de 10 fremsendte Excel ark med titlen ”Konsekvensvurdering” for 10 forskellige moduler i AULA, der er udarbejdet af KOMBIT, som Lolland Kommune har henvist til ved besvarelse af tilsynets spørgsmål om konsekvensanalyse. Efter en gennemgang af materialet finder Datatilsynet, at dokumentationen ikke opfylder mindstekravene til en konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a-d.

Datatilsynet har herved lagt vægt på, at dokumentationen ikke indeholder en systematisk beskrivelse af behandlingsaktiviteterne i AULA, jf. bestemmelsens stk. 7, litra a. Dokumentationen indeholder derimod alene en overordnet angivelse af formålet med behandlingsaktiviteterne i de forskellige moduler i AULA.

Derudover har Datatilsynet lagt vægt på, at dokumentationen ikke indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, jf. bestemmelsens stk. 7, litra b.

Endelig har Datatilsynet lagt vægt på, at dokumentationen ikke indeholder en vurdering af de foranstaltninger, der kan implementeres for at imødegå de risici, der er identificeret i materialet, jf. bestemmelsens stk. 7, litra d.

Det er på den baggrund Datatilsynets samlede vurdering, at Lolland Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte dokumentation ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7.

Datatilsynet vurderer i den forbindelse, at det fremsendte materiale ikke udgør en konsekvensanalyse, og at Lolland Kommune derfor ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA. Datatilsynet har herved lagt særlig vægt på, at Lolland Kommune ikke i det fremsendte materiale ses at have arbejdet med og forsøgt at nedbringe de risici, som behandlingen af personoplysninger i AULA indebærer. Det er Datatilsynets opfattelse, at en konsekvensanalyse navnlig bør omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af de identificerede risici, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelsen af databeskyttelsesforordningen.[7]

4.2.3. Krav om at rådføre sig med databeskyttelsesrådgiveren

Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Det følger endvidere af forordningens artikel 39, stk. 1, litra c, at databeskyttelsesrådgiveren som minimum bl.a. skal rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.

Det fremgår ikke af den fremlagte dokumentation om, og i givet fald i hvilket omfang, Lolland Kommunes databeskyttelsesrådgiver har haft bemærkninger til den udarbejdede dokumentation.

Datatilsynet skal henstille til, at Lolland Kommune inkluderer eventuelle bidrag fra kommunens databeskyttelsesrådgiver i fremtidige konsekvensanalyser. Bemærkningerne fra databeskyttelsesrådgiveren om den rådgivning, der er pligt til efter databeskyttelsesforordningens artikel 35, stk. 2, er af væsentlig betydning med henblik på at dokumentere, at databeskyttelsesrådgiveren har haft lejlighed og rum til at udføre de opgaver, der påhviler denne efter databeskyttelsesforordningens artikel 39. I den forbindelse bemærker Datatilsynet, at den dataansvarlige skal sikre, at databeskyttelsesrådgiveren inddrages tilstrækkeligt og rettidigt, jf. databeskyttelsesforordningens artikel 38, stk. 1.

4.2.4. Tidspunkt for udarbejdelse af konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.

Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.

Som anført ovenfor under punkt 1 har Datatilsynet konstateret på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke er at betragte som dataansvarlig, og derfor har tilsynet oplyst KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT skal overdrage alt nødvendigt materiale og information til kommunerne i den anledning.

Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at Lolland Kommune ikke har udarbejdet en konsekvensanalyse forud for deres behandling af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Lolland Kommune ved ibrugtagning af AULA var af den opfattelse, at KOMBIT var dataansvarlig for behandlingen af personoplysningerne i løsningen og dermed også ansvarlig for udarbejdelsen af en risikovurdering og konsekvensanalyse.

På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.

Det er således Datatilsynets opfattelse, at Lolland Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT informerede kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og overdrog alt nødvendigt materiale i den forbindelse. Datatilsynet formoder, at KOMBIT har informeret kommunerne herom kort tid efter tilsynsbesøget i december 2019.

Datatilsynet kan imidlertid konstatere, at Lolland Kommune først i oktober 2022 besluttede, at der skulle foretages opdateret konsekvens- og risikoanalyse, og at arbejdet endnu ikke var afsluttet i januar 2023. Som anført ovenfor under punkt 4.2.2. har Datatilsynet endvidere vurderet, at det fremsendte materiale, som kommunen har henvist til i forhold til spørgsmålet om konsekvensanalyse, ikke udgør en konsekvensanalyse. 

Det er Datatilsynets opfattelse, at Lolland Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.

4.2.5. Samlet vurdering vedrørende konsekvensanalyse

Efter en gennemgang af det fremsendte materiale, som Lolland Kommune har henvist til i forhold til tilsynets spørgsmål om konsekvensanalyse, finder Datatilsynet, at Lolland Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte dokumentation ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7.

Det er i den forbindelse Datatilsynets vurdering, at det fremsendte materiale, ikke udgør en konsekvensanalyse, og at Lolland Kommune derfor ikke har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA.

Datatilsynet har herved lagt særlig vægt på, at Lolland Kommune ikke i det fremsendte materiale ses at have arbejdet med og forsøgt at nedbringe de risici, som behandlingen af personoplysninger i AULA indebærer. Det er Datatilsynets opfattelse, at en konsekvensanalyse navnlig bør omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af de identificerede risici, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelsen af databeskyttelsesforordningen.[8]                                                                                                           

På den baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med artikel 35, stk. 1.

Datatilsynet finder på den baggrund grundlag for at meddele Lolland Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024.

Som anført ovenfor under punkt 4.1. har Datatilsynet noteret sig, at Lolland Kommune i oktober 2022 har besluttet, at der skal foretages en opdateret konsekvens- og risikoanalyse.

Datatilsynet har ved valg af reaktion lagt vægt på, at Lolland Kommune endnu ikke i januar 2023, hvor tilsynet modtog kommunens seneste udtalelse, havde udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA på trods af, at kommunen kort efter Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 er blevet gjort opmærksom på, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede.

4.3. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra f, og artikel 32, stk. 1.

Derudover finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Lolland Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

Datatilsynet finder på den baggrund grundlag for at meddele Lolland Kommune påbud om at foretage en konsekvensanalyse vedrørende databeskyttelse for kommunens behandling af personoplysninger i AULA i overensstemmelse med databeskyttelsesforordningens artikel 35. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 22. marts 2024.

4.4. Datatilsynets generelle bemærkninger

I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.

Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.

Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.

Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.

Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[9]

Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.

I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse

med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at

overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.

Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.     

På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).           

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/kommunale-opgaver/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet/

[4]   KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/

[5]   Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/11560/illustration-af-aftaler-om-databehandling-i-og-omkring-bpi.pdf

[6]   Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017. 

[7]   Der henvises til databeskyttelsesforordningens præambelbetragtning nr. 90.

[8]   Der henvises til databeskyttelsesforordningens præambelbetragtning nr. 90.

[9]   Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.