Tilsyn med Randers Kommune

Journalnummer: 2023-423-0008.

Resumé

Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.

”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.

Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.

Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.

Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.

Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA. 

Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.

Konsekvensanalyse

Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.

Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.

De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.

Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.

Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik.  Datatilsynet har udtalt kritik overfor den tredje kommune. 

Risikovurdering

Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.

Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.

De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.

Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.

Risiko for fejlfremsendelse i AULA

Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.

Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder. 

Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.

Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.

Fælles konsekvensanalyse og adfærdskodeks

Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.

I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.

Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.

Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.     

”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.   

1. Skriftligt tilsyn med Randers Kommune vedrørende it-systemet AULA

Randers Kommune er blandt de kommuner, som Datatilsynet i efteråret 2021 udvalgte til at føre tilsyn med efter databeskyttelsesforordningen^[1] og databeskyttelsesloven^[2].

Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.

Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.

2. Afgørelse

Efter en samlet vurdering af Randers Kommunes risikovurdering finder Datatilsynet, at Randers Kommune ikke har godtgjort, om og i hvilket omfang der er høje risici forbundet med kommunens behandling af personoplysninger i AULA. Derfor finder Datatilsynet, at Randers Kommune ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede.

Derudover finder Datatilsynet, at Randers Kommune ikke har godtgjort, at de foranstaltninger, der er implementeret med henblik på at nedbringe risikoen ved behandlingen af personoplysninger i AULA, er tilstrækkelige til at nedbringe risikoen til at være lav. Det er således Datatilsynets vurdering, at Randers Kommune ikke i fuldt tilstrækkeligt omfang har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Datatilsynet udtaler derfor kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf.  stk.  1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Det er derudover Datatilsynet vurdering, at Randers Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a, c og d.

Datatilsynet finder derudover, at Randers Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA næsten to år efter, at det har stået klart, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.  Datatilsynet finder det i den forbindelse alvorligt, at konsekvensanalysen først ses at være udarbejdet efter, at Datatilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.

På den baggrund finder Datatilsynet endvidere grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

3. Sagsfremstilling

Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Randers Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:

• De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
• I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
• En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
• En gennemgang af autorisations- samt adgangsstyringsmodeller.

Randers Kommune er den 5. november 2021 fremkommet med en udtalelse til sagen samt en række bilag, herunder kommunens risikovurdering og konsekvensanalyse for AULA.

Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Randers Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.

Datatilsynet har herefter ved mail af 6. december 2022 anmodet Randers Kommune fremsende daterede kopier af kommunens opdaterede materiale fra 2022. Randers Kommune har den 20. december 2022 fremsendt opdateret materiale til Datatilsynet. 

3.1. Generelt om beslutning og udvikling af AULA

Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3]  Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.

KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT A/S (herefter KOMBIT), i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet Aula i samarbejde med firmaerne Frog, EduLab og Advice.

KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4] 

Datatilsynet lægger til grund, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]

3.2. Randers Kommunes bemærkninger

3.2.1. Risikovurdering

Randers Kommune har fremsendt et Excel ark, der indeholder kommunens risikovurdering for behandlingen af personoplysninger i AULA. I den forbindelse har Randers Kommune oplyst, at den første version har vist, at sikkerhedsniveauet ikke var tilstrækkeligt på nogle områder, og at Randers Kommune løbende har arbejdet med foranstaltninger i AULA.

Det fremgår af den fremsendte risikovurdering, at den er udarbejdet den 4. april 2020, og at den senest er ændret den 28. oktober 2021. Det fremgår endvidere, at risikovurderingen er udarbejdet på baggrund af KOMBIT’s egen risikovurdering.

Risikovurderingen indeholder en vejledning til udfyldelse af risikovurderingsskemaet. Det fremgår heraf, at der skal vælges en trussel fra en liste, som vurderes kan udgøre en risiko. Herefter skal det vurderes, hvilken påvirkning truslen kan have på fortrolighed, integritet og tilgængelighed. I forhold til fortrolighed skal det angives, om der er tale om offentlig information, fortrolig information eller hemmelig information. Sandsynligheden for den pågældende trussel skal herefter angives på en skala fra 1-6 og frekvensen skal vurderes. Konsekvensen for Randers Kommune skal herefter angives på en skala fra 1-6 og herefter beregnes risikoen. Det fremgår herefter, at der også skal laves en konsekvensvurdering for de registreredes rettigheder, hvor konsekvensen på en skala fra 1-6 skal angives, og det skal beskrives, hvorfor konsekvensen vurderes således. Der skal herefter angives en sandsynlighed på en skala fra 1-6, ligesom at frekvensen skal angives. Der udregnes herefter en risiciscore for de registrerede. Det er beskrevet i vejledningen, at ved en risikoscore der er rød eller gul skal de nye foranstaltninger, som iværksættes, beskrives, og at der skal foretages en nyt skøn for risiko og nyt skøn for sandsynlighed.

Ved en gennemgang af Randers Kommunes risikovurdering på baggrund af den beskrevne metode, kan Datatilsynet konstatere, at Randers Kommune har foretaget en vurdering af 19 trusler, og at der er én gul risikoscore, og at resten er grønne. Datatilsynet lægger således til grund, at Randers Kommune vurderer, at der ikke er høje risici for de registrerede forbundet med behandling af personoplysninger i AULA. 

Den trussel, der er vurderet til at udgøre en gul risikoscore er følgende:

• ”Fejlhåndtering af personfølsomme oplysninger foretaget af en autoriseret bruger. Utilsigtet videregivelse af personfølsomme oplysninger, foretaget af en autoriseret bruger.”

I forhold til seks af de 19 trusler er der beskrevet følgende nye foranstaltninger, der iværksættes:

• I forhold til truslen:

”Administrative rettigheder. For mange medarbejdere har superbruger-/administrative rettigheder til forretningssystemet, f.eks. grundet mangelfulde muligheder for rettighedsstyring.” er følgende foranstaltning anført:

”Der er iværksat en godkendelse proces, som involverer ekstra person”.

• I forhold til truslen: ”Fejlhåndtering af personfølsomme oplysninger foretaget af en autoriseret bruger. Utilsigtet videregivelse af personfølsomme oplysninger, foretaget af en autoriseret bruger. Betydningen eller konsekvenserne af denne trussel kan forstærkes på basis af brugertypen. Fx ved en medarbejder med administrative adgange” er følgende foranstaltning anført:

”Det opleves at problemet sker i forbindelse med mail forsendelser. Det er muligt at trække mail tilbage ved fejl. Det er bruger af systemet oplyst om. Der laves et samlet katalog med procedure beskrivelser for håndtering af fejlbetjening”.

• I forhold til truslen: ”Manglende autorisations kontrol. Fratrådte medarbejderes adgang fjernes ikke, og vil derved kunne bruges til at kompromittere aktivet/systemet” er følgende foranstaltning anført:

”Der iværksættes arbejde med at sikre en automatisk bruger oprettelse og bruger nedlæggelse, som tager udgangspunkt i informationer fra lønsystem. Der procedure på autoristaions kontrol”

• I forhold til truslen: ”Uautoriseret adgang til legitime brugeroplysninger, eller misbrug af eksisterende adgange. Uautoriseret adgang til en legitim brugers log-on information, herunder brugernavn og kodeord. Kan opstå på flere måder: Læk af brugerinformation, usikker opbevaring af brugerinformation eller brute force angreb. Denne hændelse dækker desuden over uautorisere misbrug af adgange, der enten er for brede eller burde være lukkede” er følgende foranstaltning anført:

”Der iværksættes vejlednings materiale udleveres ved onboarding af nye medarbejder. Materialet fortæller den enkelte bruger om korrekt brug af AULA.”

• I forhold til truslen: ”Log fejl. Logning er ikke sat korrekt op, hvorfor fortroligheden kan kompromitteres, uden at dette opdages” er følgende foranstaltning anført:

”Der er meget begrænset mulighed for at håndterer egen log informationer. Log på systemet bestilles ved leverandør. Fejl ved leverandør på log kan have en indflydelse.”

• I forhold til truslen: ”Manglende understøttelse af gem/sletning funktion. Systemet understøttelse af regel baseret gem eller sletning understøttes ikke” er følgende foranstaltning anført:

”Der er udarbejdet en procedure for, hvor lang tid et dokument kan være i åben tilstand. Der kan udføres kontrol på om regel efterleves.”

Datatilsynet kan udlede af risikovurderingen, at Randers Kommune vurderer, at de nye foranstaltninger nedbringer risikoen, og at Randers Kommune accepterer restrisiciene, der på baggrund af en ny vurdering af konsekvens og sandsynlighed efter de implementerede foranstaltninger alle er grønne.

Randers Kommune har den 20. december 2022 oplyst, at for at kunne arbejde mere struktureret med bl.a. risikovurderinger og konsekvensanalyser er Randers Kommune i gang med at implementere behandlingsaktiviteter og tilhørende risikovurderinger i et dertil egnet system. I forbindelse med implementeringen vil risikovurderinger, herunder risikovurderingen for AULA, blive opdateret. Det fremgår, at disse behandlingsaktiviteter er anbefalet af KL’s partnerskab om informationssikkerhed, som Randers Kommune er en del af.

Derudover har Randers Kommune oplyst, at KOMBIT i september 2021 fremsendte reviderede risikovurderinger af AULA til kommunerne, som består af risikovurderinger for 12 moduler og fem dataprocessor. I den forbindelse har Randers Kommune oplyst, at det er kommunens vurdering, at det overordnede trusselsbillede fortsat stemmer overens med den tidligere fremsendte risikovurdering.

De pågældende risikovurderinger fra KOMBIT er ikke fremsendt af kommunen, men Datatilsynet har modtaget disse fra flere af de øvrige kommuner, som Datatilsynet har udvalgt til at føre tilsyn med vedrørende AULA.

Randers Kommune har fremsendt kommunens konsekvensanalyse samt to versioner af udkast/skabeloner til konsekvensanalyse af behandling af personoplysninger i AULA fra KOMBIT. Det fremgår af Randers Kommunes konsekvensanalyse, at kommunen den 28. januar 2020 har modtaget KOMBIT’s konsekvensanalyse, og at kommunen den 28. oktober 2021 har gennemgået og tilpasset konsekvensanalysen i forhold til Randers Kommune. Datatilsynet lægger til grund, at Randers Kommunes konsekvensanalyse er udarbejdet på baggrund af den første version af de fremsendte udkast til konsekvensanalyser fra KOMBIT.

Datatilsynet kan konstatere, at de to versioner af udkast/skabeloner til konsekvensanalyse af AULA fra KOMBIT indeholder tekst, som KOMBIT har udarbejdet og afsnit, hvor de enkelte kommuner skal udfylde konsekvensanalysen. I den første version af KOMBIT’s udkast/skabelon fremgår det, at KOMBIT har identificeret 18 hændelser, som vurderes at udgøre høje risici i AULA (Besked, Søgning, Galleri, Profil, Sikker fildeling, Administration, Opslag, Login, Kalender). Det fremgår af den reviderede version af udkastet/skabelonen, at KOMBIT har identificeret 27 hændelser, som vurderes at udgøre høje risici i de samme moduler i AULA og i forhold til fem dataprocesser (Administration af brugere og grupper, Login og brugeroplysninger, Kommunikation og samarbejde i folkeskolen, Kommunikation og samarbejde i dagtilbud og Deling af oplysninger med andre it-løsninger).

Disse henholdsvis 18 og 27 hændelser i de forskellige moduler og dataprocesser udgør følgende fem typer hændelser:

• ”Manglende adgangskontrol eller fejl i denne” (Uautoriseret adgang til system og data grundet utilstrækkelig håndhævelse af adgangskontrol)
• ”Fejlhåndtering af personoplysninger i systemet/løsningen, foretaget af en autoriseret bruger” (Utilsigtet videregivelse af personoplysninger i applikationen, foretaget af en autoriseret bruger)
• ”Forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen” (Læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation)
• ”Forkerte adgange grundet manglende eller uklare politikker” (Forkert bruger- eller systemadgang tildelt grundet uklare adgangspolitikker)
• ”Anvendelse af utilstrækkelig beskyttet brugernavn og adgangskode” (Børns opbevaring af brugernavn og adgangskode er ofte lemfældig, ved at de skriver oplysninger på en seddel eller devicen. Særligt for yngre børn. Dette kan give mulighed for ondsindede misbrug af en elevs brugeradgang i AULA)

I Randers Kommunes konsekvensanalyse er oplysningerne om disse høje risici slettet i afsnittet om identifikation og evaluering. Der er i stedet henvist til, at kommunens risikovurdering findes i et Excel ark med forskellige faner. Datatilsynet går ud fra, at det er det Excel ark med risikovurdering, som tilsynet har modtaget fra Randers Kommune.

Randers Kommune beskriver i deres konsekvensanalyse, at risikovurderingen tager udgangspunkt i et trusselskatalog med over 45 forskellige hændelser, hvor sandsynligheden for hændelsen er vurderet, ligesom konsekvenser af hændelserne er vurderet.

I afsnittet om identifikation af mitigerende foranstaltninger i Randers Kommunes konsekvensanalyse fremgår følgende:

”Jf. risikovurdering, er største trussel pt. når der sker menneskelige fejl i forbindelse med fejllevering af beskeder. Der er allerede lavede tekniske foranstaltninger for at undgå dette i udviklingen af Aula. Der er implementeret en tydeligere ”svar afsender”-knap i stedet for ”svar alle”-knap i beskedfunktionen i Aula. Det er endnu for tidligt at vurdere i hvilken grad dette afhjælper problemet. Der ud over laves der tydeligere vejledninger fra Randers Kommune til personalet, så tilfælde med fejleveringer minimeres, samt evt. fejl hurtig rettes op i form af sletning af besked.”

Der er herefter oplistet følgende foranstaltninger til at håndtere de identificerede risici, der fremgår af risikovurderingen i Excel arket:

• ”Brugeroprettelse og nedlæggelse via lønsystem”
• ”Samlet katalog for procedurebeskrivelser, herunder fejlhåndtering”
• ”Iværksættelse af proces for brug af ekstra ”øjne” tildeling af autorisation.

Det fremgår i den forbindelse, at effekten af disse foranstaltninger er, at de tre risici, som foranstaltningerne er iværksat for at nedbringe, er reduceret til en restrisiko som er lav. De tre risici er nummeret fra et til tre, men det fremgår ikke, hvilke risici der er tale om. Det er angivet, at ingen af de tre foranstaltninger er implementeret. I konsekvensanalysens afsnit 10, hvor en implementeringsplan er fastlagt, fremgår det, at ”Brugeroprettelse og nedlæggelse via lønsystem” forventes implementeret medio 2022, ”Samlet katalog for procedurebeskrivelser, herunder fejlhåndtering” forventes afsluttet primo 2022, og at ”Iværksættelse af proces for brug af ekstra ”øjne” tildeling af autorisation” iværksættes primo 2022. 

Randers Kommune har i øvrigt henvist til et bilag med titlen ”Aula – nyeste ændringer og tiltag i Randers Kommune”, hvor det fremgår, hvordan Randers Kommune har arbejdet med de risici, der i det af KOMBIT fremsendte materiale blev identificeret som høje (røde). Det fremgår af bilaget, at det er opdateret den 12. december 2022. I bilaget er der beskrevet tekniske og organisatoriske foranstaltninger i forhold til 23 risici i otte moduler i AULA (Login, Profil, Sikker fildeling, Kalender, Søgning, Beskeder, Komme-gå og Opslag). Som eksempler kan Datatilsynet fremhæve følgende foranstaltninger:

• Der er indført en kodeordspolitik i indskolingen.
• Der er indført rettighedsstyringsskemaer, hvor den enkelte skole/dagtilbud har til ansvar at gennemgå rettigheder i AULA, både for personale og forældre. Dette gøres halvårligt og kommunale AULA administratorer vil udføre stikprøver.
• Adgangen til AULA som medarbejder er styret af deres tilknytning til skolen. Forsvinder medarbejderens tilknytning til skolen, vil de automatisk miste adgangen til AULA.
• Der er udarbejdet en ramme for, hvilke typer af brugere der skal have hvilke rettigheder.
• Medarbejderne på institutioner og skoler i Randers Kommune orienteres med jævne mellemrum om, hvordan de skal behandle, opbevare og håndtere personoplysninger og får instruks i, hvordan og hvad man skriver og ikke skriver i opslag/grupper/beskeder.
• Randers Kommune har en datapolitik, som skitserer hvordan skolerne og dagtilbud behandler persondata i AULA.
• Medarbejdere er i en introduktion til sikker fildeling i AULA gjort opmærksom på, at sikre filer kun deles med personale, der har et arbejdsmæssigt behov for at have denne adgang, og at rettigheden til at kunne hente sikre filer til eget device kun tildeles pædagogisk personale i dagtilbud samt ledere og skolesekretærer i skoler.
• Skabeloner og skemaer ligger i Aula sikker fildeling, således at disse dokumenter automatisk oprettes som sikre filer tilknyttet det enkelte barn, og dermed er det kun de relevante medarbejdere, der har rettighed til filerne jf. proceduren for rettighedsstyring.
• Det er muligt for afsenderen at slette og redigere sendt indhold i beskeder i AULA. Randers Kommune anfører i den forbindelse, at dette er en teknisk foranstaltning, der gør det muligt at begrænse spredning af indhold, som er sendt forkert. Randers Kommune oplyser, at denne opdatering er kommet i december 2022.
• Beskeder kan markeres som følsomme, og afsender og modtager kan også tilføje denne markering efter afsendelsen/modtagelsen af en besked.

Randers Kommune har endvidere oplyst, at KOMBIT løbende udvikler på funktionerne i AULA blandt andet med henblik på behandlingssikkerheden. I den forbindelse oplyser Randers Kommune, at kommunerne via AULA’s supportfunktion kan indsende funktionelle ændringsønsker, hvilket Randers Kommune aktivt gør. Som eksempel har Randers Kommune nævnt en opdatering i AULA fra december 2022, hvor det er muligt for afsenderen af en besked i AULA at slette og redigere sendt indhold. Kommunen bemærker i den forbindelse, at det er en teknisk foranstaltning, der gør det muligt at begrænse spredning af indhold, der er sendt forkert.

3.2.2. Konsekvensanalyse

Som nævnt ovenfor under punkt 3.2.1. har Randers Kommune fremsendt deres konsekvensanalyse om behandlingen af personoplysninger i AULA, som er udarbejdet ud fra KOMBIT’s udkast/skabelon.

Datatilsynet lægger til grund, at konsekvensanalysen er udarbejdet den 28. oktober 2021 på baggrund af KOMBIT’s udkast/skabelon, som kommunen modtog den 28. januar 2020.

Det fremgår af konsekvensanalysens afsnit 2 om baggrund, at konsekvensanalysen er udarbejdet med baggrund i KOMBIT’s udkast men tilrettet efter Randers Kommunes virkelighed. I den forbindelse fremgår det, at KOMBIT som rådgiver og indkøber for alle 98 kommuner har bistået kommunerne med udarbejdelse af en konsekvensanalyse for systemet. Randers Kommune oplyser herefter, at kommunen har vurderet, at der er et behov for at supplere konsekvensanalysen for de kommunespecifikke behandlingsaktiviteter.

Derudover fremgår det, at konsekvensanalysen burde have været udarbejdet inden implementering og ibrugtagning af systemet på baggrund af risikobilledet fra risikovurderingerne for brugen af AULA. Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 er desuden nævnt i afsnittet.

Første afsnit i konsekvensanalysen indeholder en sammenfatning, hvor det fremgår, at konsekvensanalysen viser, jf. risikovurderingen, at den største trussel er, når der sker menneskelige fejl i forbindelse med fejllevering af beskeder. Det fremgår endvidere, at Datatilsynet ikke skal høres i medfør af databeskyttelsesforordningens artikel 36, stk. 1, da konsekvensanalysen ikke viser, at behandlingen af personoplysninger i løsningen vil føre til en høj risiko for de registrerede i mangel af foranstaltninger.

Afsnittet indeholder i øvrigt følgende om forhold, som kommunens databeskyttelsesrådgiver påpeger:

”Randers Kommunes databeskyttelsesrådgiver påpeger, at denne analyse skulle være foretaget før implementeringen og idriftsættelse af systemet. Randers Kommune skal som dataansvarlig, sikre at rette sikkerhedsmæssige foranstaltninger er på plads inden ibrugtalelse af systemet. Databeskyttelsesrådgiver lægger vægt på, at Aula er et større system med mange registrerede, mange brugere og meget data samt at der behandles oplysninger om børn.

Risikovurdering er udarbejdet, samt er det kontinuert er blevet arbejdet med forbedring af sikkerhedsmæssige foranstaltninger, hvor Randers Kommune databeskyttelsesrådgiver, informationssikkerhedskonsulent og systemforvalteren for Aula har et tæt samarbejde.”

I konsekvensanalysens afsnit 3 er processen for gennemførelsen af konsekvensanalysen beskrevet, herunder metoden og inddragelsen af de registrerede. I afsnittet om inddragelse af de registrerede fremgår det bl.a., at repræsentanter for de registrerede har været inddraget, og at deres synspunkter er blevet hørt vedrørende den planlagte behandling.  Det fremgår i den forbindelse, at følgende har været inddraget: Styrelsen for IT og Læring, medarbejdere, forældre, kommuner (i forhold til kravspecifikation), flere end 15 databeskyttelsesrådgivere fra forskellige kommuner, foreningen Skole & Forældre, BUPL, m.fl.

Konsekvensanalysens afsnit 4 indeholder en beskrivelse af den planlagte behandling. I afsnittet er der beskrevet forskellige forhold om behandlingens karakter, omfang, sammenhæng og formål. Det følgende fremgår om formålet med behandling af personoplysninger i AULA:

”Formålet med behandlingen af persondata i Aula er at stille en kommunikationsplatform til rådighed, og dermed give adgang til behandling og opbevaring af data til brug for det daglige arbejde om børn i dagtilbud og eleverne i kommunens skoler i et system som kan understøtte kommunikations- og læreprocesser i folkeskolen og på dagtilbudsområdet. Der findes således ikke sager, afgørelser, profilering, personaleadministration mv. sted i Aula”

Konsekvensanalysens afsnit 5 har overskriften ”Vurdering af nødvendigheden og proportionaliteten”.  Afsnittet indeholder beskrivelser i forhold til princippet om lovlighed, rimelighed og gennemsigtighed, princippet om formålsbegrænsning, princippet om dataminimering, princippet om rigtighed, princippet om opbevaringsbegrænsning, behandlingssikkerhed, de registreredes rettigheder, forholdet til databehandlere og overførsel af personoplysninger til tredjelande og internationale organisationer.

Randers Kommune har i dette afsnit bl.a. forholdt sig til det retlige grundlag for behandlingsaktiviteterne, hvorvidt formålet kan opnås ved brug af anonymiserede aggregerede eller pseudonymiserede oplysninger, hvordan det sikres, at personoplysningerne er korrekte, og hvordan der sikres overholdelse af de forskellige rettigheder. I afsnittet om princippet om opbevaringsbegrænsning er der henvist til en politik for sletteregler og sletteprocedurer i AULA, som er tilgængelig på hjemmesiden aulainfo.dk.[6]

Derudover er Randers Kommunes anvendelse af databehandlere og underdatabehandlere i forhold til anvendelsen af AULA beskrevet. I den forbindelse er det beskrevet, hvordan det sikres, at kravene til databehandlere i databeskyttelsesforordningen overholdes. I forhold til tredjelandsoverførsel fremgår det af konsekvensanalysen, at der ikke overføres personoplysninger til tredjelande eller internationale organisationer. I den forbindelse henviser kommunen til en erklæring fra Amazon Web Services (herefter AWS) og Netcompany om sikring af, at der ikke overføres personoplysninger til tredjelande.

Konsekvensanalysens afsnit 6 vedrører identifikation og evaluering af risici, og afsnit 7 vedrører identifikation af foranstaltninger til at håndtere de identificerede risici. Disse afsnit er omtalt nærmere under punkt 3.2.1. ovenfor.

I afsnit 9 i konsekvensanalysen fremgår det ved afkrydsning i et forud udfyldt felt, at ledelsen har godkendt konsekvensanalysen, og at behandlingen herefter kan påbegyndes, såfremt de mitigerende foranstaltninger, der er beskrevet i konsekvensanalysen bliver implementeret.

Det fremgår endelig af konsekvensanalysens afsnit 11 om vedligeholdelse/ajourføring af konsekvensanalysen, at Randers Kommune regelmæssigt skal gennemgå konsekvensanalysen, jf. artikel 35, stk. 11, og at det som minimum skal ske, når der sker en ændring af risikoen ved behandlingsaktiviteten.

3.3. Anmeldte brud på persondatasikkerheden vedrørende AULA

Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.

I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger, om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.

En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA.  F.eks.  hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.

Ved en søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget 23 anmeldelser af brud på persondatasikkerheden fra Randers Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.

Størstedelen af anmeldelserne vedrører hændelser, hvor en besked i AULA er sendt til en eller flere forkerte modtagere. Der er både tilfælde, hvor en besked med fortrolige oplysninger om en elev er sendt til en anden elevs forældre, og hvor en besked er sendt til en hel forældregruppe/en hel klasses forældre i stedet for den pågældende elevs forældre. Derudover er der eksempler på hændelser, hvor forældre og medarbejdere i en beskedtråd svarer alle i beskedtråden i stedet for at svare afsenderen direkte, og hvor alle i beskedtråden derfor modtager fortrolige oplysninger om et barn. Der er endvidere et eksempel på en hændelse, hvor en forkert fil med oplysninger om en anden elev er sendt til nogle forældre.

Derudover har Datatilsynet modtaget anmeldelser vedrørende uautoriseret adgang til oplysninger om, hvorvidt en kontaktperson har forældremyndighed over et barn og indhold i modulet ”sikker fildeling”.

4. Begrundelse for Datatilsynets afgørelse

4.1. Risikovurdering

Datatilsynet lægger til grund, at det fremsendte Excel ark udgør Randers Kommunes risikovurdering for behandlingen af personoplysninger i AULA, og at risikovurderingen er udarbejdet på baggrund af KOMBIT’s egen risikovurdering.

4.1.1. Relevante regler

Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.

Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2, for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.

Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder skal ske inden behandlingerne igangsættes.  

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.

Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.   

4.1.2. Generelt om krav til risikovurdering

Datatilsynet bemærker, at det ikke fremgår af databeskyttelsesforordningen, hvor detaljeret risikovurderingen skal være. Det er Datatilsynets opfattelse, at den dataansvarlige må fastlægge et passende niveau henset til de risici, som er relevante for den dataansvarliges behandling af personoplysninger.

Såfremt en leverandør, databehandler eller tilgængelige analyser mv. fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Særligt når behandlingsaktiviteter i et system bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i den behandling af personoplysninger, der sker hos den dataansvarlige.

Det fremgår ikke eksplicit noget sted i databeskyttelsesforordningen, hvordan dokumentationen skal se ud, hvad det konkrete indhold skal være, eller hvad hyppigheden for ajourføring og opdatering skal være.

Datatilsynets opfattelse er, at dokumentationsforpligtelsen indebærer, at tilsynsmyndigheden – ud af det samlede materiale, som den dataansvarlige kan fremlægge – kan foretage en vurdering af, om behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det bør således fremgå af det fremlagte materiale, hvordan og på hvilket grundlag de databeskyttelsesretlige overvejelser er truffet. Dette er bl.a. i forhold til behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.

Derudover bør det fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante overvejelser og handlinger er sket. 

Det er Datatilsynets opfattelse, at en risikovurdering bør indeholde en vurdering af konsekvensen (f.eks. høj, medium, lav) for de registrerede ved tab af fortrolighed, tilgængelighed og integritet. Herefter skal det i risikovurderingen identificeres, hvilke trusler der er for tab af fortrolighed, tilgængelighed og integritet samt sandsynligheden (f.eks. høj, medium, lav) for, at truslen bliver realiseret. Endelig skal der i risikovurderingen ske en kortlægning af de eksisterende sikkerhedsforanstaltninger og deres bidrag til at reducere risikoen. På den baggrund kan de dataansvarlige vurdere risikoen og tage stilling til, om det er en acceptabel risiko, eller om der skal iværksættes yderligere foranstaltninger. Ved at forholde sig til disse elementer i en risikovurdering kan de dataansvarlige således dokumentere, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.

4.1.3. Randers Kommunes identificering og vurdering af risici

Efter en gennemgang af Randers Kommunes risikovurdering lægger Datatilsynet til grund, at Randers Kommune ikke i deres risikovurdering har identificeret høje risici forbundet med behandlingen af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Randers Kommune vurderer, at autoriserede brugeres fejlhåndtering af oplysninger i AULA, der medfører utilsigtet videregivelse af personoplysninger, udgør en medium (gul) risiko, og at de resterende identificerede risici er lave (grønne).

I den forbindelse ses Randers Kommune i forhold til 19 trusler at have foretaget en vurdering af, hvilken grad af påvirkning truslen kan have på fortrolighed, integritet og tilgængelighed. Derudover er der i risikovurderingen foretaget en vurdering på en skala fra 1-6 af, hvad sandsynligheden er for, at truslen realiseres, og hvad konsekvensen for de registrerede er. På den baggrund er risikoen for de registrerede beregnet.

Datatilsynet kan konstatere, at Randers Kommune i forhold til to trusler har vurderet, at konsekvensen er ”alvorlig” (4). I forhold til de 17 resterende trusler er konsekvensen vurderet til at være ”markant” (3), ”moderat” (2) eller ”begrænset” (1). Der er ingen af truslerne, som Randers vurderer medfører en konsekvens, der er ”kritisk” (5) eller ”katastrofal” (6), hvis den realiseres. Det fremgår ikke af vurderingen, hvorfor konsekvensen er vurderet således.

Datatilsynet kan konstatere ved en sammenligning af Randers Kommunes risikovurdering med de fremsendte skabeloner/udkast til konsekvensanalyser fra KOMBIT, at Randers Kommune ved deres identificering af risici, før der er truffet foranstaltninger, har vurderet, at nogle risici udgør en lav eller medium risiko, hvor KOMBIT har vurderet disse risici til at være høje.

Som eksempel herpå kan Datatilsynet nævne fejlhåndtering af personoplysninger foretaget af en autoriseret bruger, hvor der sker utilsigtet videregivelse af personoplysninger, hvor KOMBIT vurderer, at det udgør en høj risiko, og Randers Kommune vurderer, at det udgør en medium risiko. I den forbindelse bemærkes det, at Randers Kommune vurderer, at konsekvensen er ”alvorlig” (4), og at sandsynligheden er ”sandsynlig” (4), hvor KOMBIT vurderer, at konsekvensen er ”ødelæggende (meget kritisk)”, og at sandsynligheden er ”forventet”.

Et andet eksempel er manglende autorisationskontrol og manglende eller mangelfulde organisatoriske sikringsforanstaltninger omkring systemet, f.eks. uklarhed omkring roller og ansvar. Randers Kommune vurderer, at disse trusler udgør en lav risiko, hvor KOMBIT vurderer, at forkerte adgange grundet manglende eller uklare politikker udgør en høj risiko.

Randers Kommune har oplyst, at KOMBIT i september 2021 fremsendte reviderede risikovurderinger til kommunerne, men at det er kommunens vurdering, at det overordnede trusselsbillede fortsat stemmer overens med den tidligere fremsendte risikovurdering. Randers Kommune ses imidlertid ikke at have redegjort for, hvorfor de anførte risikoscenarier indebærer en lavere risiko i Randers Kommune, end hvad der fremgår af KOMBIT’s risikovurdering i skabelonen/udkastet til konsekvensanalyse. Der er således ikke redegjort for, hvorfor Randers Kommune vurderer, at konsekvensen ikke er lige så alvorlig, som KOMBIT har vurderet, samt hvorfor det ikke er så sandsynligt, at truslen realiseres, som KOMBIT vurderer.

Randers Kommune har imidlertid i et særskilt bilag beskrevet, hvordan kommunen har arbejdet med de risici, der i det af KOMBIT fremsendte materiale blev identificeret som høje (røde). I bilaget har kommunen i forhold til 23 risici i otte moduler i AULA beskrevet tekniske og organisatoriske foranstaltninger, som er eller vil blive implementeret i kommunen. Randers Kommune ses således at have forholdt sig til disse risici. Datatilsynet har imidlertid forstået på Randers Kommunes udtalelser, at materialet fra KOMBIT ikke har givet Randers Kommune anledning til at revidere deres risikovurdering.

Datatilsynet finder på den baggrund, at Randers Kommune ikke har godtgjort, om og i hvilket omfang der er høje risici forbundet med kommunens behandling af personoplysninger i AULA.

Derfor finder Datatilsynet, at Randers ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede.

4.1.4. Randers Kommunes beskrivelse af sikkerhedsforanstaltninger

I Randers Kommunes risikovurdering er der i forhold til seks af de 19 trusler beskrevet foranstaltninger, der er eller vil blive implementeret med henblik på at nedbringe de identificerede risici.

Datatilsynet har ved en overordnet gennemgang af de beskrevne foranstaltninger i risikovurderingen og i det særskilte bilag med de beskrevne foranstaltninger, som er omtalt ovenfor, konstateret, at foranstaltningerne umiddelbart ses at være relevante i forhold til at nedbringe de forskellige risici. Det fremgår imidlertid ikke entydigt, om de forskellige foranstaltninger er tilstrækkelige i forhold til at nedbringe de pågældende risici til at være lave.

Som oplistet under punkt 3.2.1. ovenfor har Randers Kommune f.eks. angivet som foranstaltning i forhold til risikoen for utilsigtet videregivelse af personoplysninger som følge af brugerfejl, at det er muligt at trække mail tilbage ved fejl, og at der laves et samlet katalog med procedurebeskrivelser for håndtering af fejlbetjening. Randers Kommune har i øvrigt oplyst tilsynet, at kommunen via AULA’s supportfunktion har indsendt et ændringsønske til KOMBIT om, at det blev muligt for afsender at slette og redigere i sendt indhold i beskeder. Ifølge det særskilte bilag med beskrivelsen af en række foranstaltninger, er dette blevet implementeret, så det siden december 2022 har været muligt at slette eller redigere sendt indhold i beskeder i AULA. I det særskilte bilag, hvor en række foranstaltninger er beskrevet, fremgår det desuden, at beskeder med følsomt indhold bliver markeret følsomme, og at medarbejdere får instruks i, hvordan og hvad de skal skrive og ikke skrive i opslag, grupper og beskeder.

Det fremgår af risikovurderingen, at konsekvensen er nedbragt til at være ”begrænset” (1) fra at være ”alvorlig” (4). Sandsynligheden er fortsat angivet til at være sandsynlig (4), som det også var tilfældet i vurderingen før de implementerede foranstaltninger. På den baggrund vurderer Randers Kommune, at risikoen er nedbragt til at være lav (4) fra at være medium (16).  

I den forbindelse bemærker Datatilsynet, at tilsynet fortsat jævnligt modtager anmeldelser af brud på persondatasikkerheden i AULA fra landets kommuner, herunder hændelser hvor oplysninger utilsigtet videregives til uvedkommende i f.eks. beskeder.

Datatilsynet kan konstatere, at tilsynet siden Randers Kommunes seneste opdatering af deres risikovurdering den 28. oktober 2021 har modtaget 12 anmeldelser af brud på persondatasikkerheden fra Randers Kommune om hændelser, hvor en bruger ved en fejl har videregivet personoplysninger til forkerte modtagere. To af anmeldelserne vedrører hændelser, hvor forældre ved en fejl sender en besked i en beskedtråd til alle i tråden i stedet for direkte til den medarbejder, der har afsendt en besked i tråden. De resterende anmeldelser vedrører hændelser, hvor medarbejdere ved en fejl videregiver personoplysninger til forkerte modtagere i AULA’s beskedmodul.

Datatilsynet kan i øvrigt konstatere, at tilsynet siden december 2022, hvor det har været muligt at slette og redigere i sendt indhold i beskeder, har modtaget fem anmeldelser vedrørende utilsigtet videregivelse af personoplysninger i AULA på baggrund af brugerfejl. I en af anmeldelserne er det beskrevet, at en administrator får trukket beskeden med helbredsoplysninger tilbage 2,5 timer efter hændelsen, men at kommunen kan konstatere, at 15 ud af de 40 personer, der ved en fejl har modtaget beskeden, har læst beskeden. 

Datatilsynet finder på den baggrund, at Randers Kommune ikke har godtgjort, at de med de implementerede foranstaltninger har sikret, at risikoen for utilsigtet videregivelse af personoplysninger som følge af brugerfejl er nedbragt til at være lav.

4.1.5. Særligt vedrørende risiko for fejlfremsendelse i AULA’s beskedmodul

Det er generelt Datatilsynets opfattelse, at dataansvarlige der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.

På den baggrund skal Datatilsynet anbefale, at Randers Kommune sammen med KOMBIT og de øvrige dataansvarlige kommuner foretager en sådan undersøge. Dette er særligt henset til, at AULA’s brugere ofte er personer, der ikke som sit primære virke arbejder med databeskyttelse (undervisere, pædagogisk personale samt forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud – kan indebære, at der bør stilles skærpede krav til den dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger jf. artikel 32.

Datatilsynet kan i den forbindelse nævne, at tilsynet har konstateret, at AULA’s beskedmodul er indrettet på en måde, så det i beskeder, der er sendt til flere modtagere, er mest oplagt at svare alle personer i beskedtråden. Der er et mindre synligt felt, hvor det er muligt at svare afsenderen af beskeden direkte. I feltet hvor brugeren svarer alle i beskedtråden, er der dog information om, hvor mange personer brugeren svarer. En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af AULA utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere.

Derudover har Datatilsynet konstateret, at der automatisk opstilles forslag til modtagere, når brugeren begynder at skrive i modtagerfeltet ”Til”. Det er i den forbindelse både medarbejdere, børn og forældre, der foreslås som modtagere. Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager.

4.1.6. Samlet vurdering vedrørende risikovurdering

Efter en samlet vurdering finder Datatilsynet, at Randers Kommune ikke har godtgjort, om og i hvilket omfang der er høje risici forbundet med kommunens behandling af personoplysninger i AULA. Derfor finder Datatilsynet, at Randers ikke har påvist, at de har identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede.

Derudover finder Datatilsynet, at Randers Kommune ikke har godtgjort, at de foranstaltninger, der er implementeret med henblik på at nedbringe risikoen ved behandlingen af personoplysninger i AULA, er tilstrækkelige til at nedbringe risikoen til at være lav. Det er således Datatilsynets vurdering, at Randers Kommune ikke i fuldt tilstrækkeligt omfang har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Datatilsynet udtaler derfor kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Datatilsynet har noteret sig, at Randers Kommune vil opdatere risikovurderingen for AULA i forbindelse med kommunens implementering af et system til brug for et mere struktureret arbejde med bl.a. risikovurderinger og konsekvensanalyser. Datatilsynet henstiller til, at Randers Kommune i den forbindelse tager ovenstående i betragtning.

Datatilsynet har ved valg af reaktion lagt vægt på, at Randers Kommune i april 2020 – og dermed inden for et halvt år efter, at det har stået klart, at de enkelte kommuner er dataansvarlige for deres behandling af personoplysninger i AULA – har foretaget en risikovurdering af AULA, hvor kommunen har arbejdet med og forsøgt at nedbringe de identificerede risici. I den forbindelse har Datatilsynet lagt vægt på, at kommunen både har implementeret organisatoriske foranstaltninger og indsendt funktionelle ændringsønsker til KOMBIT, som efterfølgende er implementeret i løsningen. Randers Kommune ses endvidere i det særskilte bilag, at have forholdt sig til, om det på baggrund af KOMBIT’s risikovurdering var nødvendigt, at implementere yderligere foranstaltninger.

Randers Kommunes risikovurdering er efter Datatilsynets opfattelse imidlertid ikke tilstrækkelig detaljeret. Dette er på baggrund af, at Randers Kommune ikke har redegjort for, hvorfor de anførte risikoscenarier i KOMBIT’s risikovurdering i skabelonen/udkastet til konsekvensanalyse indebærer en lavere risiko i Randers Kommune, end hvad KOMBIT har vurderet. Derudover har Randers Kommune ikke forholdt sig til, om de brud på persondatasikkerheden i AULA, der er sket i Randers Kommune, giver grundlag for en anden vurdering af risikoen. Det fremgår i øvrigt ikke af risikovurderingen, hvorfor konsekvenserne er vurderet, som de er. 

4.2. Konsekvensanalyse

4.2.1. Krav om konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.

I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse^[7] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse. 

Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger. 

Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan. 

Konsekvenserne for de registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.

Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.

Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse, sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.   

På baggrund af ovenstående er det Datatilsynets vurdering, at behandlingen af personoplysninger i AULA indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at behandlingsaktiviteterne der foretages i AULA er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse forud for ibrugtagningen af AULA.

4.2.2. Tidspunkt for udarbejdelse af konsekvensanalyse

Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.

Datatilsynet lægger til grund, at Randers Kommunes konsekvensanalyse er udarbejdet den 28. oktober 2021.

Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.

Som anført ovenfor under punkt 1 har Datatilsynet konstateret på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke er at betragte som dataansvarlig, og derfor har tilsynet oplyst KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT skal overdrage alt nødvendigt materiale og information til kommunerne i den anledning.

Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at Randers Kommunes konsekvensanalyse ikke har været udarbejdet forud for deres behandling af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Randers Kommune ved ibrugtagning af AULA var af den opfattelse, at KOMBIT var dataansvarlig for behandlingen af personoplysningerne i løsningen og dermed også ansvarlig for udarbejdelsen af en risikovurdering og konsekvensanalyse.

På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.

Det er således Datatilsynets opfattelse, at Randers Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT informerede kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og overdrog alt nødvendigt materiale i den forbindelse. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019. Dette bekræftes af, at det fremgår af Randers Kommunes konsekvensanalyse, at kommunen den 28. januar 2020 modtog en skabelon/udkast til konsekvensanalyse fra KOMBIT.

Datatilsynet kan imidlertid konstatere, at Randers Kommune først ses at have udarbejdet en konsekvensanalyse den 28. oktober 2021 og dermed et år og ti måneder efter, at der var klarhed om dataansvaret for AULA. Datatilsynet kan derudover konstatere, at konsekvensanalysen er udarbejdet efter, at tilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.

Det er Datatilsynets opfattelse, at Randers Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

Datatilsynet har navnlig inddraget det i sin vurdering, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.

Datatilsynet finder på den baggrund, at Randers Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA næsten to år efter, at kommunen er blevet opmærksom på, at de er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.

4.2.3. Minimumskrav til konsekvensanalyser

Databeskyttelsesforordningens artikel 35 indeholder en række krav, som en konsekvensanalyse som minimum skal opfylde. Disse krav følger af stk. 7 og omfatter følgende:

1. en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
2. en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
3. en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
4. de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

Databeskyttelsesforordningens regler om konsekvensanalyse skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.

En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.

Databeskyttelsesforordningen giver de dataansvarlige fleksibilitet til at fastlægge den nøjagtige struktur og form af konsekvensanalysen vedrørende databeskyttelse. Men uanset formen skal en konsekvensanalyse vedrørende databeskyttelse indeholde ovenstående mindstekrav og dermed være en egentlig vurdering af risici, der gør det muligt for de dataansvarlige at træffe foranstaltninger for at afhjælpe dem.

Datatilsynet har gennemgået Randers Kommunes konsekvensanalyse i forhold til mindstekravene i databeskyttelsesforordningens artikel 35, stk. 7.

Det er tilsynets samlede vurdering, at Randers Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a, c og d.

Nedenfor følger Datatilsynets vurdering af konsekvensanalysen i forhold til de enkelte mindstekrav, der følger af artikel 35, stk. 7, litra a-d.

Ad a) Systematisk beskrivelse af behandlingsaktiviteter og formål

Det er Datatilsynets opfattelse, at kravet om en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a, indebærer, at de dataansvarlige skal foretage en systematisk beskrivelse af de forskellige former for behandling, f.eks. indsamling, registrering, videregivelse mv., som personoplysningerne vil blive genstand for samt en klar beskrivelse og definition af de personoplysninger, som behandles. Derudover indebærer kravet, at konsekvensanalysen skal indeholde en beskrivelse af formålet med behandlingen.

Det er derudover Datatilsynets opfattelse, at en systematisk beskrivelse bør indeholde oplysninger om det retlige grundlag, der er for behandlingen (hjemmel), hvilke kategorier af registrerede der behandles oplysninger om, antallet af registrerede, information om hvor oplysningerne kommer fra, hvem – inden for og uden for organisationen – der kan tilgå oplysningerne, hvor længe oplysningerne opbevares, om der sker overførsel af oplysninger til tredjelande (og på hvilket grundlag), og om der anvendes nye teknologier til behandlingen af personoplysninger. Den systematiske beskrivelse skal således bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Datatilsynet skal i den forbindelse henvise til præambelbetragtning nr. 90[8].

Randers Kommunes konsekvensanalyse indeholder et afsnit 4 med en beskrivelse af den planlagte behandling. Afsnittet indeholder bl.a. information om, det retlige grundlag for behandlingen, hvilke kategorier af registrerede der behandles oplysninger om, antallet af registrerede, information om, hvor oplysningerne kommer fra, hvilke personalegrupper inden for organisationen, der har adgang til oplysninger i AULA, hvor længe oplysningerne opbevares, en angivelse af at der ikke anvendes ny teknologi og formålet med behandlingen.

Det fremgår endvidere, at der ikke overføres personoplysninger til tredjelande og/eller internationale organisationer. Ifølge konsekvensanalysen opbevares data i ét europæisk datacenter hos AWS. Det fremgår i den forbindelse, at AWS er amerikanskejet men drives i EU af et europæisk datterselskab, som er underlagt europæisk lovgivning. Herefter fremgår det, at Netcompany forpligter sig i henhold til kontrakten med KOMBIT til at placere data fra AULA indenfor EU/EØS. Det fremgår endvidere, at opbevaringen kontrolleres løbende af uafhængige it-revisionshuse.

Konsekvensanalysen indeholder en beskrivelse af, at der sker indsamling af personoplysninger, herunder hvordan oplysningerne indsamles, og hvad kilderne til data er. Derudover er det illustreret i et systemoverblik, hvordan data fra andre systemer anvendes. Konsekvensanalysen indeholder imidlertid ikke en systematisk beskrivelse af de forskellige former for behandling i AULA, f.eks. registrering, videregivelse mv., som personoplysningerne derudover vil blive genstand for.

Randers Kommunes konsekvensanalyse indeholder en angivelse af, hvilke typer personoplysninger der behandles i AULA. Det fremgår, at der behandles både almindelige og følsomme personoplysninger samt CPR-numre i AULA. Det er i den forbindelse nærmere angivet, hvilke kontaktoplysninger der behandles, og at kommunen vælger, hvilke yderligere data om eleven der er behov for at kende i institutioner og skoler, og at det indberettes som supplerende stramdata.

For så vidt angår de særlige kategorier af personoplysninger (følsomme personoplysninger), fremgår det af konsekvensanalysen, at der i beskeder og modulet ”sikker fildeling” vil forekomme følsomme personoplysninger.

Det er imidlertid ikke nærmere angivet, hvilke følsomme personoplysninger, f.eks. helbredsoplysninger eller oplysninger om religiøs overbevisning, der kan være indeholdt i beskeder og modulet ”sikker fildeling”. Det er Datatilsynets forståelse, at det er brugerne af AULA, herunder forældre og elever, der anvender disse moduler i deres kommunikation med skole eller daginstitution, og at kommunen derfor ikke nødvendigvis kan forudsige præcis, hvilke eksempler på følsomme personoplysninger modulerne vil indeholde.

Det er imidlertid Datatilsynets opfattelse, at Randers Kommune i deres beskrivelse af behandlingsaktiviteterne kan tage udgangspunkt i deres erfaringer om, hvilke typer oplysninger som beskeder fra pædagogisk personale mv. til forældre og elever typisk indeholder. Særligt da AULA var taget i brug ved Randers Kommunes udarbejdelse af konsekvensanalysen, er det Datatilsynets opfattelse, at det har været muligt for Randers Kommune nærmere at beskrive, hvilke følsomme oplysninger der behandles i AULA.

Det er på den baggrund Datatilsynets vurdering, at Randers Kommune har beskrevet deres behandlingsaktiviteter i AULA og formålet med behandlingen. Datatilsynet finder imidlertid, at beskrivelsen af behandlingsaktiviteterne ikke er tilstrækkelig detaljeret, da den ikke indeholder oplysninger om alle de forskellige former for behandling af personoplysninger (udover indsamling), der foretages i AULA, og hvilke typer følsomme personoplysninger der behandles. Mindstekravet i artikel 35, stk. 7, litra a er således ikke opfyldt.

Ad b) Vurdering af nødvendighed og proportionalitet

Datatilsynet kan konstatere, at Randers Kommunes konsekvensanalyse indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, som er et krav efter artikel 35, stk. 7, litra b.

Randers Kommune har i konsekvensanalysen foretaget en vurdering af, om formålet med AULA ikke kan opnås ved helt at undgå behandling af personoplysninger, om behandlingen af personoplysninger kan begrænses, og om formålet med AULA med behandlingen af personoplysninger i AULA vil kunne opnås ved brug af anonymiserede, aggregerede eller pseudonymiserede oplysninger. Det fremgår i den forbindelse, at en begrænsning af personoplysninger vil påvirke brugervenligheden i en negativ retning. Ligeledes fremgår det, at formålet med behandlingen af personoplysninger i AULA i en vis grad vil kunne opnås ved brug af anonymiserede, aggregerede eller pseudonymiserede oplysninger, men ikke uden at påvirke brugervenligheden. Derudover har Randers Kommune i konsekvensanalysen bl.a. taget stilling til, hvordan det sikres, at der behandles korrekte oplysninger, hvornår personoplysningerne slettes og hvordan de registreredes rettigheder håndteres.

Datatilsynet skal dog anbefale, at Randers Kommune ved en senere opdatering af konsekvensanalysen udvider vurderingen til også at omfatte, hvordan forholdet mellem de registrerede og Randers Kommune som dataansvarlig er, og i den forbindelse om behandlingen af personoplysninger er frivillig, samt om de registrerede kan forvente en sådan behandling af deres personoplysninger.

Ad c) og d) Vurdering af risici og foranstaltninger

Randers Kommunes konsekvensanalyse henviser til kommunens risikovurdering i et Excel ark, som også er fremsendt til Datatilsynet. Risikovurderingen indeholder en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder samt en beskrivelse af de foranstaltninger, der påtænkes for at imødegå disse risici. Konsekvensanalysen indeholder en oplistning af tre af de seks foranstaltninger, som fremgår af kommunens risikovurdering. Derudover har Randers Kommune i et særskilt bilag redegjort for, hvordan kommunen har arbejdet med de risici, der i det af KOMBIT fremsendte materiale blev identificeret som høje (røde). Randers Kommune ses således at have arbejdet med de risici, som behandlingen af personoplysninger i AULA indebærer.

Som anført ovenfor under punkt 4.1.3. er det imidlertid Datatilsynets vurdering, at Randers Kommune ikke ved identifikationen af de risici, som behandlingen af personoplysninger i AULA udgør for de registrerede, har godtgjort, om og i hvilket omfang der er høje risici forbundet med behandlingen af personoplysninger i AULA. Derudover er det Datatilsynets vurdering, at Randers Kommune ikke har godtgjort, at de foranstaltninger, der er implementeret med henblik på at nedbringe de identificerede risici ved behandlingen af personoplysninger i AULA, er tilstrækkelige til at nedbringe risikoen til at være lav. Der henvises i den forbindelse til afsnit 4.1.4. ovenfor. Det er således Datatilsynets vurdering, at Randers Kommune ikke har påvist, at de har sikret et sikkerhedsniveau, der passer til de risici, som behandlingen af personoplysninger i AULA indebærer.

Det er på den baggrund Datatilsynets vurdering, at konsekvensanalysens indhold vedrørende kommunens vurdering af risiciene og de oplistede foranstaltninger ikke er tilstrækkelig i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra c og d.

4.2.4. Krav om at rådføre sig hos databeskyttelsesrådgiveren

Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Det følger endvidere af forordningens artikel 39, stk. 1, litra c, at databeskyttelsesrådgiveren som minimum bl.a. skal rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.

Datatilsynet lægger til grund, at Randers Kommune har rådført sig med kommunens databeskyttelsesrådgiver, da det fremgår af konsekvensanalysens afsnit 8, at databeskyttelsesrådgiveren er blevet inddraget fra start og løbende i processen i forhold til udarbejdelse af konsekvensanalysen. Derudover fremgår det af første afsnit i konsekvensanalysen, at Randers Kommunes databeskyttelsesrådgiver påpeger, at konsekvensanalysen skulle være foretaget før implementering og idriftsættelse af systemet, og at Randers Kommune skal sikre, at de rette sikkerhedsmæssige foranstaltninger er på plads inden ibrugtagelse af systemet.

4.2.5. Samlet vurdering vedrørende konsekvensanalyse

Efter en gennemgang af Randers Kommunes konsekvensanalyse finder Datatilsynet, at Randers Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a, c og d.

Datatilsynet finder derudover, at Randers Kommune ved først at have udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA næsten to år efter, at det har stået klart, at kommunen er dataansvarlig for behandling af personoplysninger i en løsning, der indebærer en høj risiko for de registrerede, har handlet i strid med databeskyttelsesforordningens artikel 35, stk. 1.  Datatilsynet finder det i den forbindelse alvorligt, at konsekvensanalysen først ses at være udarbejdet efter, at Datatilsynet har anmodet om materialet som led i det skriftlige tilsyn på området.

På den baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at Randers Kommune har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA, der indeholder de elementer, der fremgår af artikel 35, stk. 7, litra a-d.

Randers Kommunes konsekvensanalyse er imidlertid efter Datatilsynets opfattelse ikke tilstrækkelig detaljeret. I den forbindelse bemærker Datatilsynet, at en systematisk beskrivelse af behandlingsaktiviteterne skal bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Derudover er konsekvensanalysens indhold vedrørende kommunens vurdering af risiciene og de oplistede foranstaltninger ikke er tilstrækkelig i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra c og d.

Datatilsynet har derudover lagt vægt på tidspunktet for Randers Kommunes udarbejdelse af konsekvensanalysen.

Datatilsynet bemærker i den forbindelse, at formålet med en konsekvensanalyse er, at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt. Det er Datatilsynets opfattelse, at Randers Kommune allerede ved konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, skulle have påbegyndt udarbejdelsen af en konsekvensanalyse.

4.3. Sammenfatning

På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Datatilsynet finder endvidere grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.

4.4. Datatilsynets generelle bemærkninger

I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.

Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.

Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.

Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.

Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[9]

Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.

I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.

Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.

Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.     

På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).           

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3]   KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/kommunale-opgaver/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet/

[4]   KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/

[5]   Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/11560/illustration-af-aftaler-om-databehandling-i-og-omkring-bpi.pdf

[6]   https://aulainfo.dk/wp-content/uploads/Sletteprocedurer-og-sletteregler-i-Aula-v1.0.pdf

[7]   Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017. 

[8]   Af præambelbetragtning nr. 90 fremgår det følgende: ”I sådanne tilfælde bør den dataansvarlige inden behandlingen fore-tage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensa-nalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.”

[9]   Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.