Kritik af Hovedstadens Beredskabs mangelfulde rettighedsstyring

Dato: 22-03-2023
Afgørelse Offentlige myndigheder Kritik Anmeldt brud på persondatasikkerheden Behandlingssikkerhed Adgangskontrol CPR-nummer

Datatilsynet har truffet afgørelse i en sag, hvor alle brugere af Hovedstadens Beredskabs ESDH-system har haft adgang til kontaktoplysninger, herunder personnumre og beskyttede adresser, om tidligere og nuværende medarbejdere.

Journalnummer: 2022-442-21566

Resume

Hovedstadens Beredskab I/S anmeldte i november 2022 et brud på persondatasikkerheden til Datatilsynet, da de selv havde konstateret, at alle brugere af deres ESDH-system siden systemet blev taget i brug i maj 2022 havde haft adgang til nuværende og tidligere medarbejderes fulde navne, personnumre og adresser, herunder beskyttede adresser.

Hovedstadens Beredskab oplyste, at kontaktoplysningerne anvendes i forbindelse med journalisering af personalesager. Adgangen til de pågældende oplysninger burde ifølge Hovedstadens Beredskab have været differentieret således, at de kunne udpege, hvilke medarbejdere der har et arbejdsbetinget behov for at arbejde med oplysningerne, og således at det alene var disse medarbejdere, der blev tildelt adgang til dem. Hovedstadens Beredskab og deres leverandør havde imidlertid ikke været opmærksomme på den manglende mulighed for at differentiere i adgangsrettigheder til de pågældende oplysninger.

Ved sin afgørelse om at udtale kritik har Datatilsynet særligt lagt vægt på, at alle brugere af ESDH-systemet, siden systemet blev taget i brug, har haft adgang til kontaktoplysninger, som også indeholdt fortrolige oplysninger om beskyttede adresser og personnumre, om 2.029 nuværende og tidligere medarbejdere, selvom det kun var medarbejdere i Hovedstadens Beredskabs HR-afdeling, der havde behov for en sådan adgang.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Hovedstadens Beredskab I/S den 26. november 2022 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:

d2ee46917e7483afb339f30f6b152c0e639c0ab4.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Hovedstadens Beredskab I/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Hovedstadens Beredskab I/S har den 26. november 2022 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Det fremgår af anmeldelsen, at alle brugere af Hovedstadens Beredskab I/S’ ESDH-system siden ibrugtagning af systemet den 30. maj 2022 har haft adgang til nuværende og tidligere medarbejderes fulde navne, personnumre og adresser, herunder beskyttede adresser. Hovedstadens Beredskab I/S har efterfølgende oplyst, at der er 184 brugere hos Hovedstadens Beredskab I/S, og at der derudover er 4 testbrugere og 6 brugere hos leverandøren. Derudover har Hovedstadens Beredskab I/S oplyst, at ESDH-systemet indeholder oplysninger om 2.029 nuværende eller tidligere medarbejdere.

Hovedstadens Beredskab I/S har oplyst, at kontaktoplysningerne på de nuværende og tidligere medarbejdere anvendes i forbindelse med journalisering af personalesager, hvor HR-afdelingen opretter enkeltsager og tilknytter medarbejderne som sagsparter. Efter en nærmere undersøgelse har Hovedstadens Beredskab I/S konstateret, at 6 brugere, der har tilgået oplysninger om nuværende eller tidligere medarbejdere, ikke har haft et arbejdsbetinget behov for adgang til oplysningerne.

Adgangen til kontaktoplysningerne om nuværende og tidligere medarbejdere burde ifølge Hovedstadens Beredskab I/S have været differentieret således, at Hovedstadens Beredskab I/S kunne udpege, hvilke medarbejdere der har et arbejdsbetinget behov for at arbejde med oplysningerne. Hovedstadens Beredskab I/S har i den forbindelse oplyst, at Hovedstadens Beredskab I/S og deres leverandør ikke har været opmærksom på den manglende differentiering i adgangsrettigheder til ESDH-kontaktregisteret, der indeholder oplysninger om nuværende og tidligere medarbejdere.

Det fremgår videre af sagen, at brugerne af systemet fortsat har adgang til oplysninger om nuværende og tidligere medarbejderes personnumre og navne. I den forbindelse har Hovedstadens Beredskab I/S oplyst, at personnumrene er anonymiseret i søgeresultaterne, så det kun er muligt at se fødselsdatoen. Det er imidlertid muligt at tilgå yderligere oplysninger ved at klikke videre på et søgeresultat, hvorved selve kontakten (stamkortet) vises. På stamkortet er det fortsat muligt at se personnumre. De nuværende og tidligere medarbejderes bopælsadresser er imidlertid ikke længere er tilgængelige i ESDH-systemet, og der er markeret ”Nej” for alle kontakterne i felterne, hvor det skal angives, om en kontakt har navne- og adressebeskyttelse.

Det fremgår endelig af sagen, at Hovedstadens Beredskab I/S’ leverandør planlægger at implementere en løsning i systemet, hvor det er muligt via systemets autorisationssystem at sikre, at kun autoriserede brugere kan søge på personoplysninger i ESDH-kontaktregisteret. Hovedstadens Beredskab I/S har videre oplyst, at det vil blive muligt at autorisere brugerne i seks niveauer, som stemmer overens med deres arbejdsbetingede behov. Hovedstadens Beredskab I/S er i gang med en analyse af, hvor mange og hvilke typer brugere hos Hovedstadens Beredskab I/S og leverandøren, der har et arbejdsbetinget behov for adgang til de pågældende oplysninger om nuværende og tidligere medarbejdere.

Hovedstadens Beredskab I/S har i den forbindelse oplyst, at ændringen i systemet forventes idriftsat den 18. april 2023. Dette skyldes, at leverandøren tidligst kan levere en release med den ændrerede autorisationsfunktionalitet ultimo marts, hvorefter releasen skal installeres hos Hovedstadens Beredskab I/S i deres testsystem og derefter i produktion. I perioden frem til den 18. april 2023 vil Hovedstadens Beredskab I/S løbende kontrollere logs over hændelser i stamkortene, og der vil løbende ske underretning af de berørte registrerede, hvis oplysninger er tilgået af brugere af ESDH-systemet.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af Hovedstadens Beredskab I/S oplyste af 26. november 2022, 12. december 2022, 18. januar 2023 og 2. marts 2023 til grund, at det siden den 30. maj 2022 har været muligt for alle brugere af deres ESDH-system at tilgå nuværende og tidligere medarbejderes navne, personnumre og adresser, herunder beskyttede adresser.

Datatilsynet lægger endvidere til grund, at det indtil den 18. april 2023 fortsat er muligt for brugerne af ESDH-systemet at tilgå oplysninger om nuværende og tidligere medarbejderes navne og personnumre.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige for de pågældende brugeres arbejdsbetingede behov.

Datatilsynet finder på ovenstående baggrund grundlag for at udtale kritik af, at Hovedstadens Beredskab – ved ikke at have sikret differentieret brugeradgange til tidligere og nuværende medarbejderes kontaktoplysninger i ESDH-systemet, således at det er muligt at udpege de brugere, der har et arbejdsbetinget behov for adgang til de pågældende oplysninger – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Hovedstadens Beredskab I/S behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at alle brugere af ESDH-systemet siden ibrugtagning af systemet den 30. maj 2022 har haft adgang til bl.a. fortrolige oplysninger om 2.029 nuværende eller tidligere medarbejdere hos Hovedstadens Beredskab I/S, og at det alene er medarbejdere i Hovedstaden Beredskab I/S’ HR-afdeling, der har behov for adgang til de pågældende oplysninger.

Datatilsynet har noteret sig, at Hovedstadens Beredskab I/S forventer, at en ændring af systemet er idriftsat den 18. april 2023, hvor det er muligt via systemets autorisationssystem at sikre, at kun autoriserede brugere kan søge på personoplysninger om nuværende og tidligere medarbejdere.

Datatilsynet har endvidere noteret sig, at Hovedstadens Beredskab I/S i perioden frem til den 18. april 2023 vil kontrollere logs over hændelser i stamkortene løbende, og at der løbende vil ske underretning af de berørte registrerede, hvis oplysninger er tilgået af brugere af ESDH-systemet.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).