Journalnummer: 2023-420-0001.
Resumé
Datatilsynet igangsatte i efteråret 2021 tilsyn med i alt seks udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.
”Når skoler/daginstitutioner og forældre kommunikerer via AULA, indgår der i mange tilfælde følsomme og fortrolige oplysninger om børn. Det er derfor vigtigt, at kommunerne passer godt på oplysningerne i AULA. Børn har, ifølge databeskyttelsesforordningen, krav på en særlig beskyttelse,” siger Signe Vestergård, specialkonsulent i Datatilsynet.
Datatilsynet har nu truffet afgørelse i alle sager undtagen én, da denne sag indeholder nogle yderligere elementer.
Tilsynene er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019. Datatilsynet kunne på det pågældende tilsynsbesøg konstatere, at KOMBIT ikke kunne betragtes som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alle nødvendige materialer og informationer til kommunerne i den forbindelse.
Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.
Derfor har Datatilsynet valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Samtidig har Datatilsynet formuleret nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA.
Datatilsynet vil i øvrigt give de samme anbefalinger i et brev til samtlige landets kommuner, hvor tilsynet også orienterer om afgørelserne. Formålet med orienteringen til kommunerne er at opfordre dem til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af flere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.
Konsekvensanalyse
Selvom de fem kommuner benytter samme tekniske løsning (AULA) til de samme behandlingsaktiviteter, har de haft en markant forskellig tilgang til spørgsmålet om konsekvensanalyser.
Samtlige fem kommuner har fået kritik eller alvorlig kritik i den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har endvidere meddelt disse to kommuner et påbud om at udarbejde en konsekvensanalyse inden for tre måneder.
De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået dem og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.
Derudover har Datatilsynet undersøgt tidspunktet for udarbejdelsen af konsekvensanalyserne og taget i betragtning, at der har været uklarhed om dataansvaret for behandlingen af personoplysninger i AULA. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger og ansvaret for at foretage risikovurderinger og konsekvensanalyser, lå hos KOMBIT. Datatilsynet konkluderede dog ved tilsynsbesøget hos KOMBIT i december 2019, at KOMBIT ikke kan anses som dataansvarlig.
Alle tre kommuner udarbejdede først konsekvensanalyserne lang tid efter, at klarhed om dataansvaret for behandlingen af personoplysninger i AULA var etableret. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik. Datatilsynet har udtalt kritik overfor den tredje kommune.
Risikovurdering
Samtlige fem kommuner har ligeledes fået kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet for at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger for at sikre et passende sikkerhedsniveau.
Datatilsynet har udtalt alvorlig kritik af to af kommunerne, da de ikke har fremsendt egentlige risikovurderinger. Den ene kommune oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune henviste til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger kommunen havde truffet for at nedbringe risikoen for de registrerede.
De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har dog udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har påvist, at de har sikret et passende sikkerhedsniveau.
Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Kommunerne har forholdt sig forskelligt til materialet. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering og har taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at de har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget egne vurderinger, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – dog uden i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.
Risiko for fejlfremsendelse i AULA
Datatilsynet har konstateret, at en stor del af de anmeldelser af brud på persondatasikkerheden i AULA, som tilsynet modtager, vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA. Det er også en risiko, som flere kommuner har identificeret i deres risikovurderinger.
Flere af kommunerne har implementeret organisatoriske foranstaltninger med henblik på at informere brugerne om denne risiko ved afsendelse af beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske i AULA, der giver mulighed for at slette og redigere afsendt indhold i beskeder.
Til trods for disse tiltag modtager Datatilsynet fortsat en del anmeldelser af brud fra kommunerne, der vedrører fejlfremsendelse i AULA.
Det er generelt Datatilsynets opfattelse, at dataansvarlige, der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse. De bør også undersøge mulighederne for at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
I et brev til KL, KOMBIT og Styrelsen for It og Læring har Datatilsynet anbefalet, at KOMBIT sammen med de dataansvarlige kommuner foretager en sådan undersøgelse. Denne anbefaling vil tilsynet i øvrigt også give i et brev til samtlige landets kommuner.
Fælles konsekvensanalyse og adfærdskodeks
Det er Datatilsynets opfattelse, at kommunerne har mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA. Det er på baggrund af, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af samme type personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Ydermere leveres systemet af den samme leverandør.
I brevet til KL, KOMBIT og Styrelsen for It og læring har Datatilsynet derfor opfordret til, at det overvejes på tværs af kommunerne, og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.
Datatilsynet har derudover anbefalet, at KL, i samarbejde med kommunerne og eventuelt KOMBIT, overvejer muligheden for at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Datatilsynet har bemærket, at denne overvejelse også kan være relevant for andre behandlingsaktiviteter i kommunerne, hvor de anvender samme system til de samme behandlingsaktiviteter af samme typer personoplysninger, som indebærer lignende høje risici.
Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.
Selvom det letter overholdelsen af reglerne, fritager det ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger - f.eks. ved anvendelse af et system til andre formål.
”Det er en stor og ressourcekrævende opgave for de enkelte kommuner at foretage risikovurderinger og konsekvensanalyser, der sikrer de rette sikkerhedsforanstaltninger. Men det er nødvendigt. AULA er et værktøj, der anvendes i alle kommuner til de samme behandlingsaktiviteter af samme type personoplysninger. Vi opfordrer derfor kommunerne – evt. i samarbejde med KL og KOMBIT – til at gå sammen og sikre, at borgernes oplysninger i AULA er tilstrækkelig beskyttet,” siger Signe Vestergård, specialkonsulent i Datatilsynet.
1. Indledning
I efteråret 2021 igangsatte Datatilsynet en række tilsyn med i alt 6 kommuners behandling af oplysninger i it-systemet AULA. Tilsynene var fokuseret på efterlevelse af databeskyttelsesforordningen med særligt fokus på, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne.
Tilsynet omfattede Esbjerg Kommune, Frederikshavn Kommune, Hillerød Kommune, Københavns Kommune, Lollands Kommune og Randers Kommune, som blev udvalgt med det formål at få et bredt og repræsentativt indblik i kommunernes overvejelser i forhold til behandlingssikkerheden ved brugen af i AULA.
Datatilsynet har nu truffet afgørelse i alle sager på nær sagen vedrørende Københavns Kommune. Tilsynssagen med Københavns Kommune indeholder nogle yderligere elementer, hvorfor Datatilsynet endnu ikke har truffet afgørelse i denne sag.
Datatilsynet finder, at tilsynssagerne rejser nogle generelle databeskyttelsesretlige problemstillinger på tværs af kommunerne, som med fordel kan håndteres samlet fremfor særskilt hos de enkelte kommuner.
Datatilsynet har derfor valgt at orientere Kommunernes Landsforening (KL), Styrelsen for It og Læring og Kombit A/S (herefter KOMBIT) om tilsynets afgørelser i disse sager. Datatilsynet har samtidigt fundet anledning til at give nogle anbefalinger til det videre arbejde med behandlingssikkerheden i AULA.
Datatilsynet forventer ligeledes at orientere alle landets kommuner, herunder også de kommuner, der ikke var udvalgt til dette tilsyn. Formålet er at opfordre kommunerne til at overveje, om materialet giver anledning til at foretage (yderligere) vurderinger mv. eller sikre implementering af yderligere sikkerhedsforanstaltninger i forhold til deres behandling af personoplysninger i AULA.
1.1. Baggrund for tilsynene
Baggrunden for, at Datatilsynet oprindeligt har fundet det relevant at føre disse tilsyn med kommunerne er, at tilsynet har set (og fortsat ser) en række brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.
I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger, om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som deres primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 32, og mitigerende tiltag til efterlevelsen af forordningens artikel 25.
En stor del af anmeldelserne af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.
Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med KOMBIT i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. På tilsynsmødet oplyste Datatilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage kommunerne alt nødvendigt materiale og information i den anledning.
1.2. Fokus i tilsynssagerne
Datatilsynet varslede tilsynene med kommunerne den 15. oktober 2021, hvor tilsynet anmodede kommunerne om at fremsende deres risikovurderinger og konsekvensanalyser vedrørende behandlingen af personoplysninger i AULA. Derudover anmodede tilsynet kommunerne om en gennemgang af deres overvejelser i forhold til databeskyttelsesforordningens krav i artikel 25 om databeskyttelse gennem design og standardindstillinger i forbindelse med anskaffelsen og udviklingen af AULA samt en gennemgang af deres autorisations- og adgangsstyringsmodeller.
Datatilsynet har på baggrund af de 6 udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til kommunernes risikovurdering og eventuelle konsekvensanalyse vedrørende AULA.
1.3. Afgørelser i tilsynssagerne
Datatilsynet har nu truffet afgørelse i 5 ud af 6 af tilsynssagerne. Vedlagt fremsendes en kopi af de 5 afgørelser.
Datatilsynet kan oplyse, at samtlige 5 kommuner har fået enten kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler konsekvensanalyse. To af kommunerne har fået alvorlig kritik, da de ikke har udarbejdet en konsekvensanalyse. Datatilsynet har desuden meddelt de to kommuner påbud om at udarbejde en konsekvensanalyse inden for tre måneder.
De tre øvrige kommuner har udarbejdet konsekvensanalyser. Datatilsynet har gennemgået de tre konsekvensanalyser og vurderet, at ingen af dem opfylder alle mindstekravene til en konsekvensanalyse.
Derudover har Datatilsynet set på tidspunktet for udarbejdelsen af konsekvensanalyserne. Datatilsynet har i den forbindelse taget i betragtning, at der har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne og KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.
På Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 konstaterede tilsynet som nævnt ovenfor, at KOMBIT ikke er at betragte som dataansvarlig. Alle tre kommuner ses imidlertid først at have udarbejdet konsekvensanalyser lang tid efter der således var klarhed over dataansvaret for behandlingen af personoplysninger i AULA. To af kommunerne har tilmed først udarbejdet konsekvensanalyser efter, at tilsynet har anmodet om materialet i forbindelse med iværksættelsen af tilsynet, hvorfor Datatilsynet overfor disse to kommuner har udtalt alvorlig kritik. Datatilsynet har udtalt kritik overfor den tredje kommune.
Samtlige 5 kommuner har desuden fået enten kritik eller alvorlig kritik i forhold til den del af sagerne, der omhandler kommunernes risikovurdering. Kritikken vedrører dokumentationskravet i forhold til at kunne påvise, at de har identificeret og nedbragt de risici, som behandlingen af personoplysninger i AULA udgør for de personer, oplysningerne vedrører, så der er sikret et passende sikkerhedsniveau. Derudover vedrører kritikken manglende identifikation og implementering af relevante foranstaltninger, der skal sikre et passende sikkerhedsniveau.
To af kommunerne har ikke fremsendt egentlige risikovurderinger, og Datatilsynet har udtalt alvorlig kritik til begge kommuner. Den ene af kommunerne oplyste i januar 2023, at de endnu ikke havde afsluttet det indledende arbejde med at identificere relevante foranstaltninger, der kan implementeres med henblik på at nedbringe de identificerede høje risici ved behandlingen af personoplysninger i AULA. Den anden kommune havde i stedet for at fremsende en risikovurdering henvist til en række bilag som dokumentation for, hvilke mitigerende foranstaltninger, kommunen havde truffet for at nedbringe risikoen for de registrerede.
De øvrige tre kommuner har fremsendt risikovurderinger. Datatilsynet har udtalt kritik til disse kommuner, da de ikke i fuldt tilstrækkeligt omgang har godtgjort, at de har sikret et passende sikkerhedsniveau.
Flere kommuner har fremsendt materiale fra KOMBIT, hvor en række høje risici ved anvendelsen af AULA er identificeret. Det er forskelligt, hvordan de 6 kommuner har forholdt sig til dette materiale. Nogle kommuner har oplyst, at de har tilsluttet sig KOMBIT’s risikovurdering, og de har herefter taget udgangspunkt i det, når de har beskrevet, hvilke foranstaltninger de har implementeret for at nedbringe disse risici. En kommune oplyser, at den har orienteret sig i materialet fra KOMBIT men konkluderet, at det ikke umiddelbart kunne anvendes som udgangspunkt for egentlige risikovurderinger. Andre kommuner har foretaget deres egen vurdering, hvor nogle af de risici, de har identificeret, er vurderet til at udgøre en lavere risiko, end hvad der fremgår af KOMBIT’s materiale – uden dog i tilstrækkelig grad at kunne dokumentere på hvilket grundlag denne vurdering er foretaget.
2. Datatilsynets generelle observationer
Datatilsynet har på baggrund af arbejdet med tilsynssagerne gjort nogle generelle observationer i forhold til kommunernes arbejde med de risici, som behandlingen af personoplysninger i AULA indebærer, og om visse behandlingssikkerhedsmæssige forhold.
2.1. Afklaring af dataansvaret for nye løsninger
Som anført i afsnit 1.1. ovenfor kunne Datatilsynet konstatere på det fysiske tilsynsbesøg hos KOMBIT i december 2019, at KOMBIT ikke var at betragte som dataansvarlig for AULA, men at de enkelte kommuner var selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA. Kommunerne og KOMBIT havde således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT. Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at kommunerne ikke har udarbejdet konsekvensanalyser forud for deres ibrugtagning af AULA.
Det er Datatilsynets opfattelse, at det er afgørende, at det på et tidligt tidspunkt grundigt overvejes, hvor dataansvaret for behandlingen af personoplysninger i en ny teknisk løsning er placeret. Dette er særligt vigtigt ved udvikling eller indkøb af løsninger, der skal anvendes af flere forskellige organisationer. I den forbindelse bemærker tilsynet, at alle relevante interessenter bør inddrages i overvejelserne – særligt de organisationer der skal anvende systemet.
En sådan afklaring er afgørende for, at de dataansvarlige kan påbegynde arbejdet med f.eks. konsekvensanalyser og risikovurderinger, så de påkrævede analyser og vurderinger udarbejdes, før en ny løsning tages i brug.
Datatilsynet bemærker i den forbindelse, at formålet med en konsekvensanalyse er at fastslå de konkrete risici, der er ved behandlingen for de registreredes rettigheder og frihedsrettigheder og efterfølgende sikre, at der – inden behandlingen påbegyndes – fastlægges foranstaltninger til at afhjælpe disse risici og nedbringe risikoen til et niveau, der er mindre end højt.
2.2. Dokumentation af vurderinger i henhold til artikel 32 og artikel 5, stk. 1, litra f
Datatilsynet har i tilsynssagerne konstateret, at kommunerne har håndteret opgaven i forhold til at dokumentere deres vurderinger om behandlingssikkerheden på forskellig vis.
Kun tre kommuner har udarbejdet egentlige risikovurderinger, som de har fremsendt til tilsynet. En af kommunerne har i stedet henvist til en række bilag, som kommunen har fremsendt til tilsynet som dokumentation for, hvilke mitigerende foranstaltninger, kommunen har truffet for at nedbringe risikoen for de registrerede. Kommunen har således ikke fremsendt en egentlig risikovurdering, hvor det fremgår, hvilke risici kommunen har identificeret, og hvilke foranstaltninger der er implementeret for at nedbringe disse risici.
En anden af kommunerne har henvist til risikovurderingsmaterialet fra KOMBIT, hvor der er identificeret en række risici, herunder flere høje risici. Kommunen har i forlængelse heraf oplyst, at de havde påbegyndt arbejdet med at identificere, hvilke foranstaltninger der kunne nedbringe disse risici, men at arbejdet fortsat pågik.
Nogle af de foretagne risikovurderinger er indarbejdet i kommunernes konsekvensanalyser, og andre er særskilt udarbejdet i Excel ark, som kommunen henviser til i deres konsekvensanalyse.
Datatilsynet har imidlertid i en af tilsynssagerne vurderet, at den pågældende kommune ikke havde identificeret og vurderet de væsentligste risici, som behandlingen af personoplysninger i AULA udgør for de registrerede.
Derudover fandt Datatilsynet i de tre sager, hvor kommunerne havde fremsendt egentlige risikovurderinger, at kommunerne ikke havde godtgjort, at de foranstaltninger der var implementeret var tilstrækkelige til at nedbringe risikoen til at være henholdsvis lav (hos to af kommunerne) og medium (hos en af kommunerne). Datatilsynet vurderede, at kommunerne ikke i fuldt tilstrækkeligt omfang havde påvist, at de havde sikret et sikkerhedsniveau, der passede til de risici, som behandlingen af personoplysninger i AULA indebar.
Datatilsynet har generelt gennemgået materialet fra kommunerne med fokus på, hvilke risici de havde identificeret, hvordan de havde vurderet disse risici, hvilke foranstaltninger de havde beskrevet, der var (eller ville blive) implementeret, og hvilken effekt de vurderede, at foranstaltningerne havde på risikoen. I den forbindelse har Datatilsynet bl.a. set på, om kommunen havde forholdt sig til KOMBIT’s vurdering af risikoen.
Datatilsynet finder, at dokumentationsforpligtelsen, der følger af databeskyttelsesforordningen, indebærer, at der skal kunne fremlægges materiale, der dokumenterer, hvordan og på hvilket grundlag de databeskyttelsesretlige overvejelser er truffet, og hvad de konkret har givet anledning til. Det bør således fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante vurderinger og beslutninger er foretaget. Dette er en forudsætning i forhold til at kunne sikre og påse behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.
Det er Datatilsynets opfattelse, at en risikovurdering bør indeholde en vurdering af konsekvensen (f.eks. høj, medium, lav) for de registrerede ved tab af fortrolighed, tilgængelighed og integritet. Herefter skal det i risikovurderingen identificeres, hvilke trusler der er for tab af fortrolighed, tilgængelighed og integritet samt sandsynligheden (f.eks. høj, medium, lav) for, at truslen bliver realiseret. Endelig skal der i risikovurderingen ske en kortlægning af de eksisterende sikkerhedsforanstaltninger og deres bidrag til at reducere risikoen. På den baggrund kan de dataansvarlige vurdere risikoen og tage stilling til, om det er en acceptabel risiko, eller om der skal iværksættes yderligere foranstaltninger. Ved at forholde sig til disse elementer i en risikovurdering kan de dataansvarlige således dokumentere, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.
Som nævnt ovenfor under punkt 1.3. fastslår risikovurderingsmaterialet fra KOMBIT generelt, at en række behandlingsaktiviteter, der foretages i AULA, indebærer en høj risiko for de registrerede.
Det er Datatilsynets vurdering, at hvis en leverandør, databehandler eller tilgængelige analyser fastslår eller indikerer bestemte risikoscenarier, bør de dataansvarlige forholde sig til disse vurderinger.
Datatilsynet kan konstatere, at flere af kommunerne ikke har forholdt sig til disse vurderinger i deres risikovurdering. Nogle af kommunernes risikovurderinger fastslår tilmed, at behandlingen af personoplysninger i AULA ikke indebærer høje risici.
Datatilsynet bemærker i den forbindelse, at de dataansvarlige som minimum bør foretage en dokumenteret underbygget vurdering, der forholder sig til, hvorfor de forhold der er afdækket i f.eks. en leverandørs vurdering, ikke er relevante hos den dataansvarlige.
2.3. Risiko for fejlfremsendelse i AULA
Det er generelt Datatilsynets opfattelse, at dataansvarlige der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
Sideløbende med sagsbehandlingen i de konkrete tilsynssager har Datatilsynet derfor også haft fokus på, hvilke persondatasikkerhedsbrud kommunerne anmelder, som relaterer sig til AULA. Datatilsynet har i den forbindelse konstateret, at en stor del af de anmeldte brud vedrører fejlfremsendelse af personoplysninger til en eller flere forkerte modtagere i AULA.
Flere af de kommuner, som var omfattet af tilsynet, har af samme grund implementeret organisatoriske foranstaltninger med henblik på at gøre AULA’s brugere opmærksomme på denne risiko, når de fremsender bl.a. beskeder via AULA. Derudover har en af kommunerne også fået implementeret et ændringsønske, som kommunen havde sendt til KOMBIT, hvorefter det er muligt at slette og redigere i sendt indhold i beskeder.
På trods af dette modtager Datatilsynet fortsat en del anmeldelser af brud på persondatasikkerheden fra kommuner generelt, der vedrører fejlfremsendelse i AULA.
Datatilsynet kan i den forbindelse nævne, at tilsynet har konstateret, at AULA’s beskedmodul er indrettet på en måde, så det i beskeder, der er sendt til flere modtagere, er mest oplagt at svare alle personer i beskedtråden. Der er et mindre synligt felt, hvor det er muligt at svare afsenderen af beskeden direkte. I feltet hvor brugeren svarer alle i beskedtråden, er der dog information om, hvor mange personer brugeren svarer. En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af AULA utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere.
Derudover har Datatilsynet konstateret, at der automatisk opstilles forslag til modtagere, når brugeren begynder at skrive i modtagerfeltet ”Til”. Det er i den forbindelse både medarbejdere, børn og forældre, der foreslås som modtagere. Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager.
2.4. Rettighedsstyring og kontrol af adgange
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed i databeskyttelsesforordningens artikel 32 normalt vil indebære, at brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige for de pågældende brugeres behov.
Datatilsynet skal i den forbindelse bemærke, at rettighedsstyring i systemer med personoplysninger skal forhindre uautoriseret adgang til personoplysninger samt uautoriseret ændring eller tab af personoplysninger i systemet i tilfælde, hvor brugere har adgang til at ændre eller slette oplysninger.
Det er Datatilsynets opfattelse, at der i systemer som AULA, hvor der behandles et stort antal fortrolige og beskyttelsesværdige oplysninger om et stort antal personer, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger.
Det er desuden Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer, om adgange til systemer og fysisk materiale med personoplysninger er begrænset til de brugere, der har et sagligt behov for adgang til oplysningerne.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, litra d, at der, hvis det er relevant, skal etableres procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Periodisk kontrol (revision) skal efter omstændighederne også omfatte kontrol af autorisationer og etablerede adgange. Det skal i tilknytning hertil bemærkes, at manglende periodisk kontrol (revision) efter Datatilsynets opfattelse indebærer en unødig høj risiko for, at utilstrækkelig eller mangelfuld adgangskontrol ikke identificeres rettidigt.
Det er herudover Datatilsynets opfattelse, at kontrollen af adgangsrettigheder som minimum bør bestå af en verifikation af det arbejdsbetingede behov ved tildelingen, en løbende kontrol baseret på verifikation af, at dette behov stadig er til stede og en form for auditering heraf. Hvis auditeringen udføres som stikprøvekontroller, skal antallet og frekvensen af udtagne stikprøver stå repræsentativt i forhold til antallet af mulige hændelser og risikoen for de registreredes rettigheder.
Det er på den baggrund Datatilsynets opfattelse, at det er ikke tilstrækkeligt, at brugeradgange til AULA blot tilføjes og nedlægges lokalt i de enkelte institutioner og lokalt på skolerne uden, at der efterfølgende foretages periodisk kontrol af, om de pågældende brugere fortsat har behov for den adgang, de er tildelt.
3. Datatilsynets anbefalinger
3.1. Fælles konsekvensanalyse og adfærdskodeks
I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.
Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.
Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.
Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.[1]
Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[2]
Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, og at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.
Datatilsynet skal derfor opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA.
Datatilsynet har fra flere kommuner modtaget KOMBIT’s skabelon til konsekvensanalyse, som vedrører behandling af personoplysninger i AULA, som eventuelt vil kunne danne udgangspunkt for det videre arbejde.
I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.
Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.
Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.
På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.
3.2. Håndtering af risiko for fejlfremsendelse i AULA
Datatilsynet anbefaler derudover, at KOMBIT sammen med de dataansvarlige kommuner foretager en undersøgelse af, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
[1] Se også Datatilsynets vejledning om tilsyn med databehandlere fra oktober 2021, hvor det bl.a. fremgår, at flere dataansvarlige sammen kan vurdere risici og undersøge ligheder/forskelle i anvendelse af samme databehandler med henblik på at beslutte, om der kan føres et fælles tilsyn med databehandleren.
[2] Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.