Journalnummer: 2023-423-0019.
Resumé
Datatilsynet var på tilsynsbesøg hos Kerteminde Kommune i efteråret 2023. Tilsynet fokuserede på logning og logauditering, interne procedurer for håndtering, anmeldelse og registrering af brud på persondatasikkerheden, herunder brug af auto-complete, test af backup, test af beredskaber m.v., procedurer for sletning samt konsekvensanalyser.
Datatilsynet konkluderede i sagen, at Kerteminde Kommune ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. stikprøvekontrol) for at sikre, at kommunens brugere kun tilgik oplysninger, de havde et arbejdsbetinget behov for. Kommunen foretog kun kontrol af loggen ved konkret mistanke om misbrug.
Som følge heraf har Datatilsynet udtalt kritik af, at Kerteminde Kommune ikke havde truffet passende sikkerhedsforanstaltninger.
I forhold til de øvrige områder bemærkede Datatilsynet, at Kerteminde Kommune bør fortsætte med at udarbejde politikker og procedurer for sletning i løst tilknyttede systemer og i fagsystemer. Derudover påpegede Datatilsynet, at kommunen fortsat skal afdække, hvilke behandlingsaktiviteter der kræver konsekvensanalyser, og at der i den forbindelse udarbejdes en plan for gennemførslen af disse analyser.
Afgørelse
1. Fysisk tilsyn med Kerteminde Kommune
Datatilsynet er den centrale, uafhængige myndighed, der fører tilsyn med enhver behandling af personoplysninger, der er omfattet af databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Som led i denne tilsynsvirksomhed valgte Datatilsynet i efteråret 2023 at føre fysisk tilsyn med Kerteminde Kommune efter databeskyttelsesforordningen og databeskyttelsesloven.
Ved brev af 18. oktober 2023 varslede Datatilsynet tilsynet over for Kerteminde Kommune. Datatilsynet oplyste i den forbindelse om temaerne for tilsynet og anmodede om svar på en række spørgsmål samt udlevering af materiale forud for mødet. De valgte temaer tog bl.a. udgangspunkt i de konkrete anbefalinger, som kommunen modtog fra Datatilsynet i 2022 ved det skriftlige tilsyn med kommunens modenhed på databeskyttelsesområdet (modenhedstilsyn).
Temaerne for nærværende tilsyn, der primært vedrørte behandlingssikkerhed, var følgende:
- Logning og logauditering
- Interne procedurer for håndtering, anmeldelse og registrering af brud på persondatasikkerheden, herunder brug af auto-complete
- Test af backup
- Test af beredskaber o.l.
- Procedurer for sletning
- Konsekvensanalyser
Kerteminde Kommune fremkom den 1. november 2023 med en udtalelse i sagen og besvarede endvidere den 13. november 2023 en række afklarende spørgsmål forud for tilsynsbesøget.
Tilsynet blev gennemført som et fysisk tilsynsbesøg hos Kerteminde Kommune den 14. november 2023.
Efter tilsynsbesøget anmodede Datatilsynet den 16. november 2023 Kerteminde Kommune om at besvare en række supplerende spørgsmål, som tilsynsbesøget havde givet anledning til.
Datatilsynet sendte den 21. november 2023 tilsynets udkast til mødereferat til Kerteminde Kommune med henblik med kommunens eventuelle bemærkninger til referatet.
Den 30. november 2023 kom Kerteminde Kommune med sine bemærkninger til mødereferatet og besvarede tilsynets supplerende spørgsmål. Kerteminde Kommune havde foruden enkelte tilføjelser/præciseringer umiddelbart ingen indvendinger til referatets indhold.
Nedenfor fremgår indledningsvist Datatilsynets afgørelse vedrørende Kerteminde Kommunes logauditering, der efterfølges af en sagsfremstilling og begrundelsen for afgørelsen. Herefter følger en kort gennemgang af de øvrige temaer, som blev drøftet under tilsynsbesøget, og Datatilsynets bemærkninger hertil.
2. Kritik af utilstrækkelig logauditering
Efter tilsynet med Kerteminde Kommune finder Datatilsynet anledning til at konkludere, at Kerteminde Kommune ikke har implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene foretages kontrol af loggen ved konkret mistanke om misbrug.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Kerteminde Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
2.1. Sagsfremstilling
Kerteminde Kommune har under tilsynsbesøget samt i sine forudgående og opfølgende udtalelser redegjort for kommunens håndtering af logning og logauditering, herunder kontrollen med om medarbejderes opslag i kommunens systemer er legitime.
Kerteminde Kommune oplyste, at kommunen ikke har faste procedurer for løbende at foretage logkontrol af medarbejdernes færden i systemerne, herunder f.eks. ved stikprøvekontrol. Der foretages alene kontrol af medarbejdernes færden i systemerne på baggrund af en konkret mistanke om misbrug. Derudover har de enkelte enheder i kommunen mulighed for at vælge at foretage kontrol med opslag på oplysninger i højt profilerede sager. I så fald foretages kontrollerne lokalt hos de enkelte enheder. Det dokumenteres, hvis der udføres logkontrol.
Kerteminde Kommune oplyste videre, at kommunen ikke har opsat en central opsamling af logs eller systemer til reaktion på logindhold, f.eks. et SIEM-system. Kommunen har tidligere afsøgt markedet for SIEM og lignende løsninger til at kunne indsamle, strukturere og filtrere i logningsmateriale – både proaktivt og reaktivt. Kommunen har dog ikke kapacitet til at implementere og løbende vedligeholde en sådan løsning. Som led i denne erkendelse har Kerteminde Kommune i stedet arbejdet aktivt med rolle- og adgangsstyring, herunder bl.a. – efter kommunens forklaring – lavet en omfangsrig struktur og afgrænsning i kommunens ESDH-system.
Kerteminde Kommune bemærkede hertil, at kommunen er bekendt med kravene til gennemførelse af logkontrol, men at opgaven – blandt øvrige opgaver inden for databeskyttelses- og informationssikkerhedsområdet – ikke har været prioriteret endnu. I stedet har kommunen som anført først fokuseret på at sikre en passende rolle- og adgangsstyring i kommunens systemer. I forlængelse heraf bemærkede kommunen, at selvom kommunens rolle- og adgangsstyring anses som en central og værdifuld foranstaltning til at sikre, at medarbejderne alene har adgang til de oplysninger, herunder personoplysninger, som de har et arbejdsbetinget behov for, er kommunen klar over, at denne foranstaltning ikke kan stå alene, og at logningsmateriale er den eneste måde, hvorpå en medarbejders misbrug af en ellers legitim adgang til et systems oplysninger kan dokumenteres.
Kerteminde Kommune har dog bemærket, at kommunen også har implementeret organisatoriske foranstaltninger, der har til formål at forebygge, at medarbejdere foretager uberettigede opslag i systemerne. Det omfatter f.eks., at nye medarbejdere som led i on-boarding processen informeres om, at der ikke må foretages uberettigede opslag i systemerne, ligesom denne information indgår som led i kommunens generelle awareness over for medarbejderne.
Kerteminde Kommune oplyste i forlængelse heraf, at kommunen nu vil starte en proces op, hvor der skal udvælges et antal systemer, hvor der skal gennemføres logkontrol af medarbejdernes opslag i systemerne.
Kerteminde Kommune oplyste endvidere, at kommunen er ved at overgå til den fælles kommunale rammearkitektur, som vil betyde, at der vil ske væsentlige ændringer, herunder en række sikkerhedsindstillinger, i kommunens ESDH-system. Kommunen oplyste, at muligheden for herefter at foretage automatiseret eller periodiske manuelle udtræk af logningsmateriale til brug for stikprøvekontrol vil blive afdækket.
2.2. Begrundelse
Datatilsynet lægger på baggrund af det oplyste fra Kerteminde Kommune til grund:
- at Kerteminde Kommune generelt foretager logning af anvendelser af personoplysninger i kommunens it-systemer,
- at Kerteminde Kommune benytter en række forskellige it-systemer, hvor der både behandles almindelige og følsomme personoplysninger og andre beskyttelsesværdige personoplysninger, og
- at medarbejderne – uagtet, at kommunen foretager en restriktiv styring af brugerrettigheder for at sikre, at medarbejderne alene har adgang til personoplysninger som de har et arbejdsbetinget behov for at tilgå – har en bred adgang til personoplysninger i de forskellige systemer, herunder f.eks. hvor medarbejdere har adgang til hovedparten af sagerne inden for deres arbejdsområder.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for.
Det er endvidere Datatilsynets opfattelse, at stikprøveudtagning hvert halve år udgør det absolutte minimum af kontrol i systemer, der behandler mange fortrolige og/eller følsomme oplysninger, eller hvor adgangsrettighederne er af en bredere karakter. Det er således ikke tilstrækkeligt alene ved konkret mistanke om misbrug eller ved enkeltstående potentielle misbrugsscenarier, f.eks. som led i myndighedens behandling af en sag, der er omtalt i medierne eller lignende, at undersøge loggen. Datatilsynet bemærker i den forbindelse, at den dataansvarlige kan overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og at dette kan supplere eller erstatte mere tilfældige stikprøver. Logkontrollen vil i sådanne tilfælde primært have en korrigerende funktion.
Et andet og væsentligt formål med implementering af logkontrol er, at denne foranstaltning kan have en forebyggende funktion. Behørig orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan således være et effektivt middel til at mindske sandsynligheden for, at der sker misbrug af ellers legitime adgangsrettigheder.
Datatilsynet bemærker, at selvom der er gennemført en restriktiv rolle- og adgangsstyring i den dataansvarliges it-systemer, udgør en sådan opsætning ikke en effektiv foranstaltning til at kontrollere, om en medarbejder – inden for vedkommendes ellers legitime adgangsrettigheder – har tilgået personoplysninger på et ikke-sagligt grundlag.
Forebyggelse af misbrug af adgangsrettigheder bør ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring, logning og løbende kontrol af brugernes opslag i systemer, der behandler personoplysninger – samt en effektiv håndhævelse fra den dataansvarliges side.
Borgerne skal således kunne have tillid til, at offentlige myndigheder optræder professionelt og kun anvender oplysninger om borgerne til lovlige formål – og det stiller store krav til såvel kommunen som den enkelte medarbejder.
Datatilsynet finder herefter, at der er grundlag for at udtale kritik af, at Kerteminde Kommune – ved ikke at have implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene foretages kontrol af loggen ved konkret mistanke om misbrug – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved også lagt vægt på, at Kerteminde Kommune har oplyst, at kommunen forud for tilsynet var bekendt med, at det er et grundlæggende krav til offentlige myndigheder, at der løbende foretages kontrol af brugernes anvendelse af it-systemer, hvori der behandles personoplysninger. Det bemærkes i den forbindelse, at Datatilsynet tidligere har udtalt sig om kravene – bl.a. i tilsynets offentliggjorte afgørelse af 30. november 2021 vedrørende en anden kommune[3], samt i en vejledende tekst fra 2023 om, hvordan snageri kan forebygges.
Datatilsynet har noteret sig, at Kerteminde Kommune har oplyst, at der i forlængelse af tilsynet vil blive startet en proces op, hvor der skal udvælges et antal systemer, hvor der skal gennemføres logkontrol af medarbejdernes opslag i systemerne.
Til brug for det videre arbejde kan Datatilsynet bl.a. henvise til følgende materiale, som kan findes på Datatilsynets hjemmeside via disse links:
3. Øvrige temaer for tilsynsbesøget
Nedenfor følger en kort gennemgang af de øvrige temaer, der mere overordnet blev drøftet under tilsynsbesøget og Datatilsynets bemærkninger hertil.
3.1. Vedr. interne procedurer for håndtering, anmeldelse og registrering af brud på persondatasikkerheden, herunder anvendelse af auto-complete
Kerteminde Kommune oplyste, at der er udarbejdet skriftlige procedurer for håndtering, anmeldelse, underretning og registrering af brud på persondatasikkerheden. Kommunen redegjorde også for, hvordan arbejdet med brud på persondatasikkerheden er organiseret i kommunen.
Kerteminde Kommune oplyste i den forbindelse bl.a., at Informationssikkerhedsteamet ser på alle bruddene samlet set, herunder ved brug af den liste der skal udarbejdes efter databeskyttelsesforordningens artikel 33, stk. 5, og løbende vurderer, om der bl.a. ved gentagne brud på persondatasikkerheden er behov for implementering af nye eller yderligere sikkerhedsforanstaltninger. Forslag herom indstilles efter behov til Informationssikkerhedsudvalget.
Kommunen oplyste endvidere, at alle medarbejdere inden for en kortede periode efter ansættelse skal gennemføre e-læring om bl.a. brud på persondatasikkerheden, ligesom det skal genopfriskes hvert andet år. Informationssikkerhedsteamet har også udarbejdet diverse awareness-materiale om brud på persondatasikkerheden, som ligger på GDPR-portalen og udbredes til medarbejderne bl.a. på møder og online. Artikel 33, stk. 5-listen anvendes også til at indarbejde aktuelle eksempler på brud, der kan ske i kommunen.
Kerteminde Kommune oplyste, at kommunen anvender auto-complete-funktionen og er enige med Datatilsynet i, at det er vigtigt at have fokus på fremsendelse af e-mails mv. til forkerte modtagere, herunder ved brug af auto-complete-funktionen. Hovedparten af kommunens brud udgøres således – ligesom for mange andre myndigheder og virksomheder – af fremsendelse af personoplysninger til forkerte modtagere.
Kommunen oplyste, at det ikke fremgår af artikel 33, stk. 5-listen, om årsagen til bruddene skyldes anvendelsen af auto-complete, men at det dog er kommunens indtryk, at anvendelse af auto-complete-funktionen kun har været årsag til en mindre del af bruddene i kategorien ”rigtige oplysninger til forkerte modtagere”.
Datatilsynet opfordrede til, at det fremover afdækkes og registreres, hvis årsagen til et brud skyldes anvendelsen af auto-complete, således at kommunen løbende kan vurdere, om der er gennemført passende sikkerhedsforanstaltninger for at undgå sådanne brud.
Kerteminde Kommune var bekendt med Datatilsynets nyhed og den vejledende tekst med den skærpede praksis vedrørende anvendelsen af auto-complete-funktionen, som Datatilsynet offentliggjorde på tilsynets hjemmeside den 29. august 2023. Det fremgår heraf, at tilsynets opfattelse fremadrettet er, at dataansvarlige, der i et vist omfang benytter e-mails til at sende fortrolige og følsomme oplysninger, ikke kan nøjes med at indføre organisatoriske foranstaltninger i form af f.eks. øget awareness. Disse dataansvarlige skal også indføre tekniske foranstaltninger for at mindske risikoen for fejlforsendelser som følge af brugen af auto-complete i mailprogrammer.
Kommunen er enige i, at de er i målgruppen for dem, der er omfattet af den skærpede praksis. Kommunen sender således e-mails til borgerne – hvorved auto-complete kan give forslag om borgeres e-mailadresser, når sagsbehandlerne anvender Outlook – ligesom der internt i kommunen sendes fortrolige og følsomme oplysninger via e-mail. Kommunen har i sin risikovurdering vurderet, at det i en travl hverdag for sagsbehandlerne vil føre til flere brud, hvis auto-complete-funktionen slås fra. Kommunen vil derfor ikke slå funktionen fra, men i stedet efterleve den skærpede praksis ved at indføre et scanningsværktøj, der kan gøre sagsbehandlerne opmærksomme på, at de er ved at sende f.eks. CPR-numre og andre fortrolige og følsomme oplysninger via e-mail.
Kerteminde Kommune oplyste i den forbindelse, at kommunen har en politik om, at fortrolige og følsomme personoplysninger som det klare udgangspunkt kun må sendes til borgerne via Digital Post.
Scanningsværktøjet kan derved medvirke til at forhindre brud, der kan ske ved anvendelse af auto-complete-funktionen, idet sagsbehandlerne bliver gjort opmærksomme herpå, når de er ved at sende udvalgte fortrolige og følsomme oplysninger via e-mail. Hvis det er hensigten, at sagsbehandlerne skal sende de pågældende oplysninger til en borger, kan sagsbehandleren herved sikre, at oplysningerne – i overensstemmelse med kommunens politik – i stedet sendes via Digital Post. Ved fremsendelse via Digital Post indtastes borgerens CPR-nummer (og ikke e-mailadresse), og det kan herefter kontrolleres, om det er navnet på den korrekte modtager, der angives i løsningen. Herved kan risikoen for brud som følge af anvendelse af auto-complete-funktionen formindskes.
Scanningsværktøjet kan samtidig formindske risikoen for, at eventuelle e-mails, der sendes til forkerte modtagere som følge af anvendelsen af auto-complete-funktionen, indeholder fortrolige og følsomme personoplysninger. Derved kan scanningsværktøjet formindske risikoen for alvorligere brud og dermed konsekvenserne af et brud.
Det oplyste om håndtering af brud på persondatasikkerheden, herunder initiativer for at mindske risikoen for fejlfremsendelser ved brug af auto-complete-funktionen, giver ikke Datatilsynet anledning til bemærkninger.
3.2. Vedr. test af it-beredskabsplaner og backup
Kerteminde Kommune oplyste bl.a., at kommunen har indgået et samarbejde om en beredskabsstrategi med øvrige fynske kommuner. Kommunen har selv en beredskabsplan, hvorefter der skal udføres tests to gange årligt, f.eks. i forhold til ransomware. Der blev fremvist eksempler på både gennemførte og planlagte tests. Beredskabsplanen findes både i en elektronisk og fysisk udgave.
Kommunen har endvidere testet og dokumenteret, at kommunens 30 dages backup på Microsoft 365 virker.
I forhold til beredskabsplaner for fagsystemerne, som bl.a. leveres af KMD, spørges leverandørerne, om de har sådanne på plads. Hvis det fremgår af de fremsendte it-erklæringer, at dette ikke er tilfældet, vil kommunen reagere på det over for leverandørerne.
Det oplyste om test af it-beredskabsplaner og backup giver ikke Datatilsynet anledning til bemærkninger.
3.3. Vedr. procedurer for sletning
Datatilsynet og Kerteminde Kommune drøftede en række spørgsmål vedrørende kommunens håndtering af sletning af personoplysninger. Drøftelserne tog udgangspunkt i spørgsmål, der vedrørte, om kommunen har en overordnet politik eller plan for sletning af personoplysninger, hvordan sletning håndteres i løst tilknyttede systemer (f.eks. Outlook), kommunens fremtidsplaner for sletning samt om kommunen har skelet til KLE[4] for idéer til sletteprocedurer.
Kerteminde Kommune oplyste, at kommunen alene har en persondatapolitik, hvoraf det fremgår, at personoplysninger kun må opbevares, så længe det er nødvendigt.
Datatilsynet spurgte herefter til, om der er en slettepolitik for ESDH-systemet, der f.eks. tager udgangspunkt i KLE-numre, og hvordan sletning i øvrigt foregår i praksis. Det blev oplyst, at kommunen i forhold til ESDH-systemet KMD Nova overholder tidsfrister i henhold til de anviste slettefrister i KLE. Når en sag overskrider tidsfristen, bliver sagen gjort utilgængelig og kan ikke længere fremsøges af brugeren. Sagen kan dog tilgås i en database, hvis man har privilegerede rettigheder. Efter der er sket arkivering til Rigsarkivet, foretages der slettekørsel hos leverandøren (databehandleren), hvorefter data slettes endegyldigt. Kommunen var i gang med at forberede en slettekørsel i KMD Nova i forbindelse med, at kommunen havde fået godkendt den seneste aflevering (arkivversion). Kommunen har herudover på enkelte sager aktivt valgt at fravige KLE’s slettefrist, som er baseret på en lovhjemmel eller ud fra en konkret faglig vurdering. Hertil har kommunen en procedure, hvor man opretter en sag for anmodning om ændring af denne tidsfrist og afvigelse fra KLE. Sagen tjener som kommunens dokumentation for ændringen af slettefristen.
Kommunen har i øvrigt bemærket, at fristerne i KLE er vejledende, og at kommunen ikke uden videre kan adoptere alle fristerne uden tilretning.
Kerteminde Kommune har oplyst, at kommunen ikke har en politik for sletning af ustrukturerede data. Der eksisterer imidlertid retningslinjer for, hvor medarbejdere må gemme personoplysninger og for journalisering. Der eksisterer herudover i en vis grad retningslinjer, som retter sig mod medarbejdere. Retningslinjerne beskriver f.eks., hvad der må ligge på Teams og i medarbejderens e-mailindbakke.
Kommunen oplyste videre, at der ikke findes retningslinjer for sletning i øvrige fagsystemer.
For så vidt angår kommunens fremtidsplaner for sletning oplyste kommunen, at det henset til den økonomiske situation ikke for nuværende er muligt at købe et redskab til at understøtte sletning. Det kan dog eventuelt ske på et senere tidspunkt. Det pågældende redskab kunne f.eks. være en scanner, der ville kunne anvendes på flere systemer.
Datatilsynet bemærker på baggrund af det oplyste, at tilsynet forudsætter, at Kerteminde Kommune arbejder videre med at få udarbejdet politikker og procedurer for sletning af data i både løst tilknyttede systemer og i fagsystemer. Datatilsynet henviser herved til databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det bl.a. fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
3.4. Vedr. håndtering og udarbejdelse af konsekvensanalyser
Datatilsynet og Kerteminde Kommune drøftede en række spørgsmål vedrørende kommunens håndtering af konsekvensanalyser. Drøftelserne tog udgangspunkt i spørgsmål, der vedrørte, om kommunen har udarbejdet konsekvensanalyser, og hvad den generelle politik herfor er. Drøftelserne omfattede endvidere, om udarbejdelsen af konsekvensanalyser har givet anledning til mitigerende tiltag, samt hvad kommunens fremtidige planer er for arbejdet med konsekvensanalyser.
Kommunen oplyste, at de har udarbejdet én konsekvensanalyse, og at dette er for Aula.
Kommunen er herudover i gang med at udarbejde en konsekvensanalyse for brugen af Microsoft 365, der endnu ikke er blevet færdiggjort på grund af manglende ressourcer. Der er tre til fire konsekvensanalyser i kommunens pipeline, og kommunen har til hensigt at udarbejde flere konsekvensanalyser i fremtiden. Det er imidlertid en udfordrende opgave af hensyn til ressourcerne.
Kommunen oplyste, at der er en proces for udvælgelse af, hvilke konsekvensanalyser der skal udarbejdes. Udvælgelsen beror på en risikovurdering, hvor de behandlingsaktiviteter, der vurderes til at have den højeste risiko, prioriteres først. Der eksisterer dog ikke en nedskreven procedure, der nærmere beskriver kriterierne for udvælgelsen.
Kerteminde Kommune har i øvrigt oplyst, at kommunen bl.a. afventer KOMBIT’s compliancepakke, som indeholder vejledende risikovurderinger og konsekvensanalyser på de systemer, som KOMBIT leverer. Dette koncept skulle minde om de konsekvensanalyser, KOMBIT har udarbejdet for f.eks. Aula. Kommunen har herudover tidligere samarbejdet med andre kommuner, bl.a. med henblik på i fællesskab at arbejde med konsekvensanalyser på de systemer, som flere kommuner gør brug af. Kerteminde Kommune er dog på nuværende tidspunkt fortsat med deres eget koncept.
Datatilsynet bemærker på baggrund af det oplyste, at tilsynet forudsætter, at Kerteminde Kommune fortsætter sit arbejde med at afdække, hvilke behandlingsaktiviteter der skal udarbejdes konsekvensanalyser for, samt med at få udarbejdet en plan for gennemførslen af dem.
4. Sammenfatning
4.1. Vedr. logning og logauditering
På baggrund af ovenstående finder Datatilsynet grundlag for at udtale kritik af, at Kerteminde Kommunes behandling af personoplysninger – ved ikke at have implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene foretages kontrol af loggen ved konkret mistanke om misbrug – ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet finder således, at Kerteminde Kommune ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
4.2. Vedr. øvrige temaer for tilsynsbesøget
Datatilsynet har herudover fundet anledning til at bemærke, at tilsynet forudsætter, at Kerteminde Kommune arbejder videre med at få udarbejdet politikker og procedurer for sletning af data i både løst tilknyttede systemer og i fagsystemer, og at kommunen fortsætter sit arbejde med at afdække, hvilke behandlingsaktiviteter der skal udarbejdes konsekvensanalyser for, samt med at få udarbejdet en plan for gennemførslen af dem. Datatilsynet henviser herved til databeskyttelsesforordningens artikel 5, stk. 1, litra e, og artikel 35.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Datatilsynets afgørelse af 30. november 2021 med j.nr. 2021-423-0234.
[4] KL Emnesystematik, der er kommunernes opgavetaksonomi (journaliseringsnøgle)