Journalnummer: 2023-423-0005.
Resumé
I december 2023 traf Datatilsynet afgørelse i fem ud af seks tilsynssager, som blev igangsat i efteråret 2021 vedrørende de udvalgte kommuners behandling af personoplysninger i it-systemet AULA. Tilsynene fokuserede på overholdelsen af databeskyttelsesforordningens regler om behandlingssikkerhed og konsekvensanalyse.
Københavns Kommune får kritik for mangler i konsekvensanalyse
Datatilsynet har nu truffet afgørelse i tilsynssagen med Københavns Kommune, som er den sjette og sidste af disse sager. Datatilsynet har udtalt kritik, da tilsynet har vurderet, at konsekvensanalysen ikke opfylder alle mindstekravene til en konsekvensanalyse. Afgørelsen indeholder derudover nogle anbefalinger til kommunens videre arbejde med den planlagte opdatering af konsekvensanalysen.
I forhold til kommunens risikovurdering har Datatilsynet anbefalet, at Københavns Kommune i deres reviderede risikovurderingskoncept strukturerer oplysningerne, så det bliver muligt at sammenligne risikovurderingerne før og efter implementeringen af foranstaltningerne, og at sammenhængen mellem foranstaltningerne og de enkelte risici fremgår tydeligt. Datatilsynet fandt, at kommunen ikke til fulde havde godtgjort, at passende foranstaltninger var implementeret for at nedbringe alle de risici, kommunen havde identificeret.
Københavns Kommune har dog arbejdet seriøst og målrettet på at nedbringe de identificerede risici. Særligt har kommunen fokuseret på at reducere den risiko, som brugen af UNI-login efter kommunens vurdering indebærer.
Tilsynssagen med Københavns Kommune indeholder flere elementer end de øvrige fem tilsynssager. Datatilsynet blev på baggrund af en presseomtale i foråret 2023 opmærksom på en intern tilsynsrapport fra Københavns Kommunes databeskyttelsesrådgiver, som bl.a. vedrørte kommunens brug af AULAs modul ”Sikker fildeling”. Datatilsynet har derfor i denne sag undersøgt tilsynsrapporten og anmodet kommunen om at besvare nogle spørgsmål.
På baggrund af dette har Datatilsynet i afgørelsen anbefalet Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – at præcisere formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. Datatilsynet har ydermere bemærket, at det er relevant at præcisere, hvilke dokumenttyper ”Sikker fildeling” i AULA anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
Kontaktudvalgsmøde med regionerne og kommunerne
På Datatilsynets kontaktudvalgsmøde med kommunerne og regionerne i maj 2024 var temaet myndighedernes praktiske erfaringer med risikovurderinger og konsekvensanalyser. Her blev der taget udgangspunkt i AULA-tilsynene, hvor Datatilsynet netop havde undersøgt seks kommuners risikovurderinger og konsekvensanalyser.
Datatilsynet havde inviteret Esbjerg Kommune til kontaktudvalgsmødet, for at dele deres praktiske erfaringer med risikovurderinger og konsekvensanalyser om behandlingen af personoplysninger i AULA. Esbjerg Kommune fremhævede vigtigheden af at skabe overblik gennem gode fortegnelser, der danner grundlag for det videre arbejde med databeskyttelse. Kommunen understregede også betydningen af, at man som dataansvarlig integrerer teknologi (løsningerne/systemerne), proces (standarder/arbejdsgange for anvendelse) og personale (den daglige brug) for at identificere og reducere risici, når et nyt system tages i brug.
Esbjerg Kommune påpegede, at det er en forudsætning for arbejdet at have indsigt i medarbejderes arbejdsgange og deres praktiske brug af it-redskaber. Dette kendskab gør det nemmere at foretage risikovurderinger ved fremtidige beslutninger om indkøb og implementering af nye systemer og it-løsninger generelt.
Derudover havde Datatilsynet inviteret KOMBIT til at fortælle om deres videre arbejde og overvejelser efter Datatilsynets orientering om afgørelserne i AULA-tilsynene. Datatilsynet havde i deres orientering bl.a. opfordret til, at kommunerne – og eventuelt i samarbejde med KL og KOMBIT – overvejer at udarbejde en fælles konsekvensanalyse vedrørende kommunernes behandling af personoplysninger i AULA. KOMBIT præsenterede deres overvejelser om en eventuel fælles konsekvensanalyse, og flere kommuner kom med bemærkninger og forslag på mødet.
KOMBIT fortalte også om deres compliancepakke, der indeholder en række skabeloner designet til at hjælpe kommunerne med databeskyttelse. De arbejder på at sikre, at disse skabeloner bliver tilgængelige internt for de relevante medarbejdere i kommunerne.
På mødet præsenterede Datatilsynet skabelonen til gennemførelse af konsekvensanalyser for AI-løsninger, som tilsynet på daværende tidspunkt var ved at færdiggøre. Efterfølgende er skabelonen, sammen med en mere generisk skabelon til konsekvensanalyse, offentliggjort på Datatilsynets hjemmeside. De kan findes her.
1. Skriftligt tilsyn med Københavns Kommune om behandlingssikkerheden i AULA
Københavns Kommune er blandt de kommuner, som Datatilsynet i efteråret 2021 udvalgte til tilsyn efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn er et skriftligt tilsyn med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i it-systemet AULA.
Tilsynet er en videreførelse af Datatilsynets tidligere tilsyn med Kombit A/S (herefter KOMBIT) i december 2019, hvor tilsynet på et tilsynsbesøg kunne konstatere, at KOMBIT ikke er at betragte som dataansvarlig for AULA efter databeskyttelsesforordningens artikel 4, nr. 7. Derfor oplyste Datatilsynet KOMBIT om, at KOMBIT skal sikre, at alle kommuner bliver informeret om deres dataansvar, og at KOMBIT overdrager kommunerne alt nødvendigt materiale og information i den anledning. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.
2. Afgørelse
Efter en stikprøvevis gennemgang af KOMBITs risikovurderingsmateriale og en gennemgang af Københavns Kommunes risikovurdering samt det øvrige materiale, der er fremsendt, finder Datatilsynet, at Københavns Kommune har påvist at have identificeret de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Københavns Kommune ses således at have dokumenteret, hvordan kommunen har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt hvordan kommunen forholder sig til KOMBITs risikovurdering.
Københavns Kommune ses at have arbejdet meget seriøst og målrettet med at nedbringe de identificerede risici. I den forbindelse ses Københavns Kommune særligt at have arbejdet med at nedbringe den risiko, som brugen af UNI-login efter kommunens vurdering indebærer.
Det er imidlertid Datatilsynets vurdering, at Københavns Kommune ikke til fulde har godtgjort, at kommunen har implementeret passende foranstaltninger med henblik på at nedbringe alle de identificerede risici, herunder de risici der fremgår af risikovurderingsmaterialet fra KOMBIT.
Datatilsynet har noteret sig, at Københavns Kommune arbejder på et revideret risikovurderingskoncept.
Datatilsynet anbefaler derfor, at Københavns Kommune i det reviderede risikovurderingskoncept strukturerer oplysninger på en måde, så det er muligt at sammenligne vurderingerne af risici før og efter, at foranstaltningerne er implementeret, og så sammenhængen mellem foranstaltninger og de enkelte risici fremgår. På den måde kan der dannes et overblik, der kan bidrage til at sikre, at alle de identificerede risici er vurderet og håndteret ved implementering af passende sikkerhedsforanstaltninger.
Efter en gennemgang af Københavns Kommunes konsekvensanalyse og de bagvedliggende risikovurderingsskemaer finder Datatilsynet, at Københavns Kommune for så vidt angår tidspunktet for udarbejdelsen af deres konsekvensanalyse har handlet i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1.
Det er imidlertid Datatilsynets vurdering, at Københavns Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a-d.
På den baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Københavns Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
Endelig finder Datatilsynet, at udrulningen af AULA til dagtilbuddene ikke har medført en sådan ændring af den risiko, som behandlingsaktiviteterne udgør, at Københavns Kommune skulle have foretaget en fornyet gennemgang af konsekvensanalysen i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 11.
Datatilsynet har noteret sig, at Københavns Kommune havde planlagt en opdatering af konsekvensanalysen i efteråret 2023 med afsæt i kommunens nye koncept for risikovurderinger inklusive konsekvensanalyser. Datatilsynet anbefaler, at kommunen i den forbindelse opdaterer oplysningerne i konsekvensanalysen, så de er retvisende i forhold til, at AULA også anvendes i kommunens dagtilbud.
Derudover anbefaler Datatilsynet, at Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – præciserer formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. I den forbindelse er det i øvrigt relevant at præcisere i konsekvensanalysen, hvilke dokumenttyper Sikker fildeling anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
3. Sagsfremstilling
Datatilsynet har ved brev af 15. oktober 2021 varslet tilsynet med Københavns Kommune. Datatilsynet har i den forbindelse anmodet kommunen fremsende følgende:
- De risikovurderinger der ligger til grund for vurderingen af hvilken sikkerhed, der er anset passende for behandlinger af oplysninger om fysiske personer i ”AULA”, samt en beskrivelse af de generelle sikkerhedsmodeller i applikationen.
- I det omfang der er udarbejdet konsekvensanalyser, kopier af alle versioner af disse.
- En gennemgang af overvejelser om brugen af databeskyttelsesforordningens art. 25, i forbindelse med anskaffelsen og udviklingen af ”AULA”.
- En gennemgang af autorisations- samt adgangsstyringsmodeller.
Københavns Kommune er den 10. november 2021 fremkommet med en udtalelse til sagen samt en række bilag.
Datatilsynet har herefter ved mail af 7. juli 2022 anmodet Københavns Kommune fremsende kopier af alle tidligere versioner af deres konsekvensanalyse.
Københavns Kommune har den 10. august 2022 fremsendt kommunens konsekvensanalyser for AULA fra henholdsvis 2020 og 2021 samt en række andre sikkerhedsdokumenter, som kommunen oplyser skal ses som et supplement til konsekvensanalyserne. Københavns Kommune har i den forbindelse oplyst, at konsekvensanalysen for 2022 på daværende tidspunkt ikke var udarbejdet.
Datatilsynet har på baggrund af de seks udvalgte kommuners udtalelser valgt at afgrænse fokus i tilsynene til spørgsmålene om risikovurdering og konsekvensanalyse. Det skal i den forbindelse understreges, at Datatilsynet ikke i forbindelse med dette tilsyn har taget stilling til, om Københavns Kommunes behandling af personoplysninger i AULA er i overensstemmelse med databeskyttelsesforordningens artikel 25 om databeskyttelse gennem design og standardindstillinger, eller om kommunens autorisations- og adgangsstyringsmodeller er i overensstemmelse med databeskyttelsesforordningens artikel 32.
På baggrund af presseomtale om Københavns Kommunes brug af AULA til opbevaring af følsomme børnesager med underretninger, udredninger, notater, handleplaner og trivselsvurderinger har Datatilsynet den 22. maj 2023 bedt Københavns Kommune fremsende en kopi af den interne tilsynsrapport fra kommunens databeskyttelsesrådgiver, der var omtalt i pressen. Datatilsynet modtog tilsynsrapporten den 24. maj 2023.
Datatilsynet har herefter den 23. juni og den 31. august 2023 bedt Københavns Kommune besvare en række spørgsmål om kommunens brug af AULA.
Københavns Kommune er herefter den 16. august og den 21. september 2023 fremkommet med udtalelser til sagen.
Datatilsynet og Københavns Kommune har den 26. januar, 21. februar og 14. marts 2024 telefonisk drøftet tilsynets spørgsmål til de fremsendte konsekvensanalyser og de risikovurderingsskemaer, der var fremsendt som supplement til konsekvensanalyserne. Derudover har Københavns Kommune ved mails af 2. februar og 29. februar 2024 besvaret Datatilsynets spørgsmål. Efter Datatilsynets anmodning har Københavns Kommune endvidere den 5. februar, 21. februar og 11. marts 2024 fremsendt yderligere materiale til sagen.
3.1. Generelt om beslutning og udvikling af AULA
Kommunernes Landsforening (herefter KL) oplyser på deres hjemmeside, at den kommunale anskaffelse af AULA er en del af Brugerportalsinitiativet, som er et politisk initiativ fra 2013.[3] Det fremgår endvidere, at AULA har til formål at understøtte kommunikationen og dermed samarbejdet om børns læring og trivsel på en sikker og brugervenlig måde.
KL oplyser endvidere, at alle 98 kommuner i Danmark i 2016 gik sammen om et fælles udbud af en samarbejdsplatform – det senere AULA – til skoleområdet. AULA blev sendt i udbud af kommunernes it-fællesskab, KOMBIT A/S (herefter KOMBIT), i begyndelsen af 2017, og valget faldt på leverandøren Netcompany – IT and Business Consulting, som siden har udviklet Aula i samarbejde med firmaerne Frog, EduLab og Advice.
KOMBIT informerer om AULA på hjemmesiden aulainfo.dk. Det fremgår heraf, at hovedparten af folkeskolerne tog AULA i brug i 2019 og dagtilbud i vinteren 2020/2021.[4]
Datatilsynet lægger til grund, at de enkelte kommuner er selvstændigt dataansvarlige for deres behandling af personoplysninger i AULA, og at KOMBIT, der er kommunernes databehandler, har indgået en databehandleraftale med Netcompany, der således er underdatabehandler.[5]
3.2. Københavns Kommunes bemærkninger
3.2.1. Risikovurdering
3.2.1.1. Materiale modtaget fra Københavns Kommune
Københavns Kommune har oplyst, at AULA er implementeret med dispensation, da AULA ikke fuldt ud overholder kommunens sikkerhedsregulativ. I den forbindelse har Københavns Kommune oplyst, at AULA er baseret på UNI-logins services, og at kommunen dermed ikke selv kan kontrollere adgangen, da brugerne kan logge ind uden om godkendte autentifikationsprocesser.
Københavns Kommune har derudover oplyst, at kommunen siden 2014 har forsøgt at mindske og fjerne risikoen vedrørende login og dataafgrænsning. I den forbindelse har de fremsendt et baggrundsnotat om arbejdet med sikkerheden i AULA i Børne- og Ungdomsforvaltningen og en tidslinje fra 2014 til 2020 om Københavns Kommunes arbejde med at løfte sikkerhedsudfordringer i AULA.
Det fremgår af den vedlagte indstilling om forlængelse af dispensation for brugerstyring af AULA, at medarbejderadgang via UNI-login ville blive udfaset den 31. marts 2022, hvor UNI-login ændres med overgangen fra NemID til MitID i første kvartal 2022. Kommunens medarbejdere fratages således muligheden for at logge ind med privat NemID. Derudover fremgår det, at Københavns Kommune har udsendt en instruks til deres medarbejdere om at bruge kommunens egen løsning til adgangsstyring, da kommunen via denne løsning kan administrere medarbejdernes rettigheder.
Københavns Kommune har oplyst, at der er udarbejdet en række risikovurderinger om AULA. I den forbindelse har kommunen oplyst, at de er udarbejdet ud fra kommunens tidligere risikovurderingskoncept, og at de arbejder på et revideret risikovurderingskoncept.
Københavns Kommune har fremsendt et dokument med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet”. Københavns Kommune har oplyst, at denne risikovurdering ligger til grund for dispensationsansøgningen. I et ledelsesresume i risikovurderingen fremgår det følgende:
”De primære konklusioner fra risikovurderingen er:
- Punkterne fra sikkerhedsvurderingens handlingsplan skal imødekommes.
- Tilgang til data skal så vidt muligt baseres på et arbejdsbetinget behov. Der skal i BUF implementeres organisatoriske foranstaltninger, uddannelse og vejledninger, indtil adgangen til data kan afskærmes systemmæssigt.
- Adgangen til AULA via Pædagogisk IT’s (PIT) Azure AD afviger fra KKs sikkerhedsregler, og BUF skal arbejde mod at imødekomme KKs sikkerhedsregler.”
Risikovurderingen indeholder herefter en beskrivelse i forhold til følgende områder:
- Sikkerhedsvurderingen af systemet foretaget af Københavns Kommunes Koncern IT.
- Leverandørens konsekvensanalyse
- UNI-Login
- Adgangsstyring i PIT
- AULAs beskedmodul
- Profiler i AULA
Det fremgår af risikovurderingen, at vurderingen tager udgangspunkt i kommunens sikkerhedsvurdering af AULA og i KOMBITs egen risikovurdering af modulerne i AULA.
Københavns Kommune har i øvrigt fremsendt KOMBITs risikovurderingsmateriale og oplyst, at det supplerer kommunens egen risikovurdering.
Det fremsendte risikovurderingsmateriale fra KOMBIT indeholder risikovurderinger af fem forskellige dataprocesser i AULA (Administration af brugere og grupper, Login og brugeroplysninger, Kommunikation og samarbejde i folkeskolen, Kommunikation og samarbejde i dagtilbud, Deling af oplysninger med andre it-løsninger) og 10 moduler i AULA. Derudover er der fremsendt 10 dokumenter, som vedrører de forskellige moduler i AULA med titlen ”Vurdering af risiko og konsekvens – modul XX”.
Derudover har kommunen fremsendt to versioner af deres konsekvensanalyse vedrørende behandlingen af personoplysninger i AULA, som indeholder en vurdering af risici for de registrerede. I den forbindelse har Københavns Kommune fremsendt to risikovurderingsskemaer fra henholdsvis 2020 og 2021 sammen med to dokumenter med titlerne ”Oprindelig it-anskaffelsesvurdering Aula (2017)” og ”oprindelige sikkerhedsvurdering Aula (2019)”. Københavns Kommune har oplyst, at dette bl.a. skal ses i lyset af, at der tidligere i Københavns Kommune ikke var samme klare sondring mellem konsekvensanalyser, risikovurderinger og andre vurderinger af sikkerheden. Københavns Kommune har derfor bemærket, at de fremsendte dokumenter blot skal ses som supplement til konsekvensanalyserne.
I afsnit 3.2.1.2.-3.2.1.6. nedenfor følger en nærmere gennemgang af de oplysninger, der fremgår af Københavns Kommunes risikovurdering med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet” og i den forbindelse nogle af de oplysninger, der fremgår af kommunens baggrundsnotat og tidslinje for arbejdet med sikkerheden. Derudover har Datatilsynet foretaget en stikprøvevis gennemgang af risikovurderingsmaterialet fra KOMBIT, som omtales i afsnit 3.2.1.3.
3.2.1.2. Kommunens handlingsplan
I risikovurderingens afsnit om sikkerhedsvurderingen af systemet er en handlingsplan indsat. Det fremgår, at handlingsplanen er udarbejdet på baggrund af sikkerhedsvurderingen, og at handlingsplanen er en del af en betinget ibrugtagningstilladelse, som kommunens Koncern IT har givet på baggrund af sikkerhedsvurderingen.
Det fremgår videre, at det vurderes i risikovurderingen, at såfremt punkterne i handlingsplanen behandles, vil det være muligt for kommunen at opnå et acceptabelt sikkerhedsniveau for løsningen for de elementer, der ligger inden for forvaltningens handlingsrum for AULA.
Handlingsplanen skitserer følgende områder, der skal udbedres.
- Beredskabsplan
- Adgangsstyring – Medarbejder App
- Adgangsstyring
- Adgang til følsomme data via grupper
- Dokumentation
- Dispensation ift. manglende mulighed for styring af login
- Komme/gå skærme
Derudover indeholder den disse punkter under overskriften ”Uddybende punkter til handlingsplanen i regi af risikovurderingen”:
- UNI-login
- PIT og KK Azure AD
3.2.1.3. Materiale fra KOMBIT
I risikovurderingens afsnit om leverandørens konsekvensanalyse er der henvist til en konsekvensanalyse for AULAs moduler, der er udarbejdet af leverandøren for AULA. Datatilsynet går ud fra, at det er det ovenfor omtalte risikovurderingsmateriale fra KOMBIT, som Københavns Kommune har fremsendt til Datatilsynet, der henvises til. Det fremgår i den forbindelse, at leverandørens vurdering viser, at leverandøren har fundet væsentlige uhensigtsmæssigheder i systemet, og at det giver indtrykket af en vurdering, der forholder sig aktivt til AULAs reelle konsekvensniveau og risici for de registrerede og deres rettigheder. Det fremgår herefter, at Københavns Kommunes mitigerende handlinger aktivt lægger sig op ad leverandørens vurdering af risici, og at kommunen deler de beskrevne synspunkter.
Det fremgår i den forbindelse, at der derudover eksisterer en række tekniske uhensigtsmæssigheder i systemet, som forvaltningen i kommunen ikke har mulighed for at udbedre. Københavns Kommune har på den baggrund rettet henvendelse til KOMBIT bl.a. med forslag til bedre databeskyttelse i AULAs beskedmodul. Datatilsynet har modtaget en kopi af kommunens henvendelser til KOMBIT vedrørende AULAs beskedmodul.
På baggrund af en stikprøvevis gennemgang af det fremsendte risikovurderingsmateriale fra KOMBIT, som Københavns Kommune har henvist til i deres risikovurdering, har Datatilsynet konstateret, at det vedlagte materiale fra KOMBIT generelt fastslår, at en række behandlingsaktiviteter, der foretages i AULA, indebærer en høj risiko for de registrerede. Det fremgår endvidere af materialet, at det er forventet/sandsynligt, at en række scenarier vil indtræde, som indebærer konsekvenser, der er kategoriseret som ”ødelæggende” eller ”meget alvorlig”.
Datatilsynet kan konstatere, at KOMBIT generelt har identificeret høje risici i forhold til følgende trusler:
- Manglende adgangskontrol eller fejl i denne
- Fejlhåndtering af personoplysninger i systemet/løsningen, foretaget af en autoriseret bruger
- Forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen
- Forkerte adgange grundet manglende eller uklare politikker
- Anvendelse af utilstrækkelig beskyttet brugernavn og adgangskode
I forhold til beskedmodulet i AULA fremgår det f.eks. af KOMBITs risikovurdering, at de har identificeret 10 trusler, hvoraf tre af dem er mest sandsynlige. De tre trusler er markeret som røde, og Datatilsynet forstår på materialet, at KOMBIT vurderer, at der er tale om høje risici.
Den ene af truslerne vedrører brugeradfærd, der medfører fejlhåndtering af personoplysninger i systemet, foretaget af en autoriseret bruger ved utilsigtet videregivelse af personoplysninger i applikationen. Konsekvensen ved tab af fortrolighed er kategoriseret som ”ødelæggende”, og det fremgår bl.a., at børn kan lide væsentlig skade på omdømme, der kan føre til sociale tab. Sandsynligheden er kategoriseret som ”forventet”, og det fremgår bl.a. i den forbindelse, at det er forventet, at der vil være tilfælde, hvor en bruger fejlagtigt får sendt en besked med personoplysninger til en eller flere brugere. F.eks. ved at de sender til en gruppe.
En anden af truslerne vedrører utilsigtet procesfejl, der medfører forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Det er nærmere beskrevet som læk af følsomme data grundet forkert (for lav) eller manglende dataklassifikation. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Det fremgår, at årsagen her til er, at følsomme personoplysninger (f.eks. besked vedrørende et barns sygdom/helbred) kan tilgås eller ændres af uautoriserede internt, og at registrerede eksponeres internt for uautoriserede. Det fremgår videre, at registrerede eksponeres på en måde som skader de sociale relationer, såvel internt blandt kollegaer/elever. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at det er brugere, der skal klassificere data og menneskelige fejl er forventet. Som eksempel fremgår det, at det er muligt for en bruger at sende en besked med følsomme personoplysninger uden opmærkning som ”følsom besked” med deraf følgende lavere sikkerhed.
Den tredje trussel vedrører utilsigtet procesfejl, hvor der er forkerte adgange grundet manglende eller uklare politikker. Konsekvensen ved tab af fortrolighed er kategoriseret som ”meget alvorlig”. Der er i materialet angivet den samme beskrivelse af konsekvensen som ved forkert håndtering grundet forkert eller manglende implementering af klassifikation af data i løsningen. Sandsynligheden er kategoriseret som ”forventet”. Det fremgår i den forbindelse, at alle kommuner skal tildele rettigheder til mange brugere/grupper, hvorfor fejl må forventes. Som eksempel fremgår det, at en gruppe kan have medlemmer, der ikke længere hører til gruppen og som ikke er fjernet fra gruppen.
Københavns Kommune beskriver i et fremsendt baggrundsnotat om arbejdet med sikkerheden i AULA i Børne- og Ungdomsforvaltningen, at kommunens risikovurdering adskiller sig fra KOMBITs risikovurdering, da KOMBIT vurderer, at AULA har stærk funktionsadskillelse og stærk brugerautentifikation, og at KOMBIT derfor vurderer, at datalæk som følge heraf er usandsynlig.
Datatilsynet lægger således til grund på baggrund af dette notat, at Københavns Kommune udover de risici, der er identificeret i KOMBITs risikovurderinger, også har identificeret høje risici i forhold til uautoriseret adgang til AULA og data på grund af utilstrækkelig brugerautentifikation og uautoriseret adgang til data på grund af manglende eller utilstrækkelig funktionsadskillelse i systemadgange.
3.2.1.4. UNI-login
Det fremgår af det omtalte baggrundsnotat, at det i forbindelse med igangsættelse af AULA blev konkluderet i et juridisk forudsætningsnotat for Brugerportalsinitiativet, at data i AULA ikke havde følsom karakter, men at der alene var tale om enkelte fortrolige data, og at UNI-login derfor var tilstrækkeligt. Københavns Kommune oplyser herefter i deres baggrundsnotat, at Københavns Kommune udarbejdede en redegørelse, der påpegede, at Københavns Kommune var uenig i vurderingen, og at to-faktorlogin derfor var påkrævet for medarbejdere. Dette var på baggrund af, at AULA samler en række elevoplysninger fra forskellige kilder, giver adgang til mange elevers data, samt at det er svært at undgå, at medarbejdere kommer til at skrive beskeder med følsomme oplysninger.
I notatet er der redegjort for, at anvendelsen af UNI-login medfører en række grundlæggende sikkerhedsudfordringer, som ligger uden for kommunernes handlerum. Københavns Kommune har i den forbindelse oplistet disse tre sikkerhedsudfordringer som de mest centrale:
- ”Alle brugere, der oprettes i uni-login grunddata oprettes også i Uni-login IDP, hvorfor alle brugere har et uni-login IDP, og kan logge ind med denne. Dette uanset om kommunen ønsker at dette skal være muligt. BUF ønsker ikke at Uni-login skal være en mulighed for hverken elever eller medarbejdere, fordi brugeren derved omgår de sikkerhedsforanstaltninger og KK-politikker, der er opsat i Pædagogisk AD. Herunder Københavns Kommunes sikkerhedsregulativ. BUF er forpligtiget af flere bekendtgørelser til at indberette data til Uni-login.
- Uni-logingrunddata adskiller ikke identiteter. Dette betyder at hvis en bruger har 3 identiteter (medarbejder i Gentofte, Medarbejder i København og forældre til elev i Rødovre), kan brugeren logge ind med samme login og tilgå data for alle tre identiteter. En medarbejder kan fx logge ind med Gentofte Kommunes IDP og se elevdata om Københavns Kommunes elever. Medarbejder i BUF er instrueret i kun at må logge ind med Pædagogisk AD, samt kun at tilgå data der er relevant for deres ansættelse.
- Uni-login brokeren er målrettet Uni-login IDP og kommunerne kan ikke styre, hvilke IDP’er kommunerne godkender. Kommunerne kan således ikke teknisk styre autentifikationsmetode.”
Det er derudover beskrevet i notatet, at Københavns Kommune gik i gang med at implementere stærk autentifikation i form af en AD-løsning, og at medarbejdere i Børne- og Ungdomsforvaltningen derfor har været på kurser og er instrueret i at logge på AULA via denne AD-løsning, som har to-faktor. Derudover er medarbejderne instrueret i ikke at skrive følsomme beskeder, uden at de opretter det som sikre beskeder.
I det ovenfor omtalte bilag fra Københavns Kommune, der indeholder en tidslinje fra 2014 til 2020 om Københavns Kommunes arbejde med at løfte sikkerhedsudfordringer i AULA, er det beskrevet, hvordan Københavns Kommune siden 2014 har forsøgt at påpege sikkerhedsudfordringerne vedrørende UNI-login, da udfordringerne ligger uden for kommunens råderum. Det fremgår heraf, at Københavns Kommune i den forbindelse bl.a. har taget kontakt til KL og Styrelsen for IT og Læring, som har ansvaret for UNI-login.
Risikovurderingens afsnit om UNI-login beskriver også, at UNI-login ikke kan håndtere roller- og rettigheder på et tilstrækkeligt sikkert og afgrænset niveau i forhold til Københavns Kommunes data, og at forvaltningen har anmodet om dispensation hertil. Det fremgår i den forbindelse, at hver person kun kan have ét UNI-login, som fungerer uden afgrænset rolle- og rettighedsstyring. Det betyder derfor, at hvis en lærer, der underviser på én skole også har et barn på en anden skole, så kan læreren se data for begge skoler på ét og samme ID. Der er i den forbindelse henvist til handlingsplanen, hvor det fremgår, at der er udarbejdet organisatoriske foranstaltninger i form af instruktioner til medarbejderne.
I risikovurderingens afsnit om adgangsstyring i PIT fremgår det, at Pædagogisk IT (PIT) i Børne- og Ungdomsforvaltningen drifter og håndterer et Azure Active Directory (AD), som er selvstændigt fra kommunens øvrige AD, og som anvendes til identifikation af lærere og elever i forbindelse med adgangsstyring til systemer. Det følgende fremgår af dokumentet om de udfordringer, der eksisterer med PITs AD:
”1) PITs AD baserer sig på UNI-Logins brugernavn og password, som afviger fra KK’s sikkerhedspolitik om passwords, der er beskrevet i revisionsbemærkningen fra Deloitte. BUF skal derfor implementere KK’s passwordpolitik. Denne udfordring elimineres, når BUF stopper synkroniseringen af brugernavn og password fra UNI-Login.
2) Governance og processer ifm. oprettelse og nedlæggelse af brugere i PITs AD skal dokumenteres i FISKK.
3) PITs AD og de implementerede forretningsregler kan fortsat omgås ved at logge ind med UNI-Login. BUF skal derfor stoppe anvendelsen af UNI-Login, når dette er muligt”
Det følgende fremgår af en opdatering foretaget i april 2021 i forhold til det tredje punkt:
”3) Man kan i dag ikke længere tilgå fortrolige og følsomme personoplysninger via NemID. Man mangler fortsat udtrædelse fra UNI-login IDP. STIL planlægger, at medarbejdernes adgange udfases med overgangen til NemLogin 3 og det nye MitID. Dette finder sted i slut-2021.”
3.2.1.5. AULAs beskedmodul
I risikovurderingens afsnit om AULAs beskedmodul har Københavns Kommune henvist til KOMBITs risikovurdering, hvor truslen ”Fejlhåndtering af personoplysninger i AULAs beskedmodul” er fremhævet.
Det fremgår i den forbindelse, at risikovurderingen giver udslag i følgende to konkrete udfordringer:
”1) BUF vurderer, at AULAs design af beskedmodulet ikke fordrer beskyttelse af brugerens oplysninger. Afsendelsen af beskeder med både følsom og ikke-følsom karakter sker nemlig fra ét samlet interface. Foranstaltningerne til markering af følsomme data er minimale i form af en ”check-box”, hvilket øger risikoen for at sende følsomme data uden at markere dem.
BUF forslår derfor tiltag for at beskytte imod forkert afsendelse af følsomme oplysninger i form af advarsler, pop-up bokse mv. Dette er dog udenfor BUFs handlingsrum, idet implementeringerne skal ske teknisk. BUF har derfor rettet henvendelse til KOMBIT med disse forslag til bedre beskyttelse.
For at imødekomme denne uhensigtsmæssighed har BUF implementeret mulige organisatoriske foranstaltninger i form af vejledninger og undervisning af medarbejdere, hvor disse vedligeholdes kvartalsvist og efter behov.
2) Afsendelse af beskeder med sikre filer afføder at sikre filer vedhæftes som en fil på beskeden. Dette gør, at data, der er markeret som følsomme er tilgængelige for alle, der måtte have adgang til beskeden – også selvom de ikke har ret til at tilgå følsomme data om barnet. Hvis en besked med følsomt data sendes forkert, så kan modtageren læse alt indhold. Sikre filer bør sendes som link til den sikre fil, som kun brugere med rettigheder kan tilgå. Dette vil beskytte data, hvis filen sendes til forkert modtager.”
Det fremgår af en opdatering fra april 2021, at der i forhold til det første punkt foregår en løbende proces hos KOMBIT med at forbedre beskedmodulet, så brugere ikke ved en fejl sender følsomme oplysninger til forkerte modtagere. I forhold til det andet punkt fremgår det, at sikre filer nu sendes som link, og at punktet/udfordringen dermed er afsluttet.
3.2.1.6. Profiler i AULA
I risikovurderingens afsnit om profiler i AULA er der henvist til KOMBITs risikovurdering i forhold til truslen ”Utilstrækkelig rettighedsstyring i AULAs profilmodul”, som anses for at være forventelig med umiddelbare tydeligt ødelæggende konsekvenser i forhold til tab af fortrolighed samt alvorlige konsekvenser i forhold til integritet. Kommunen henviser i afsnittet til handlingsplanens punkt 3. I en opdatering fra april 2021 fremgår det, at der er implementeret processer til korrekt tildeling af brugeradgange og -rettigheder, og at der undervises og vejledes heri.
3.2.2. Konsekvensanalyse
Københavns Kommune har fremsendt to versioner af deres konsekvensanalyse vedrørende behandlingen af personoplysninger i AULA. Den første konsekvensanalyse er dateret den 3. marts 2020, og den anden konsekvensanalyse er dateret den 20. april 2021. Københavns Kommune har oplyst, at den seneste konsekvensanalyse er opdateret i forbindelse med seneste anmodning om dispensation fra kommunens it-sikkerhedsregulativ.
Københavns Kommune har oplyst, at konsekvensanalysen er baseret på kommunens daværende konsekvensanalysekoncept. Derudover har Københavns Kommune oplyst, at der ikke er foretaget opdateringer af konsekvensanalysen siden april 2021, da der ifølge kommunen ikke er sket væsentlige ændringer i anvendelsen af AULA, men at der var planlagt opdatering af konsekvensanalysen i efteråret 2023 med afsæt i kommunens nye koncept for risikovurderinger inklusive konsekvensanalyser.
Herefter har Københavns Kommune oplyst, at der ikke er foretaget en ny konsekvensanalyse efter udrulningen af AULA i kommunens dagtilbud i maj 2021, og at dette er en fejl. Københavns Kommune vurderer dog, at konsekvensanalysen fra april 2021 er retvisende bortset fra oplysningerne om hjemmelsgrundlag og målgruppe, som burde have været opdateret med relevant faglovgivning og antal registrerede. Kommunen vurderer, at der ikke er forskel i anvendelsen af AULA mellem dagtilbud og skoler.
Konsekvensanalysen indeholder en samlet vurdering og konklusion. Her fremgår det, af den seneste version fra april 2021, at konsekvensanalysen viste følgende fordeling af risici efter foranstaltninger var gennemført: 7 forhold med lav risiko (58 %), 5 forhold med mellem risiko (42 %) og 0 forhold med høj risiko (0 %). Det fremgår, at mellem risici ikke må overstige 70 %, og at alle høje risici skal være elimineret. Hvis disse betingelser ikke er opfyldt skal kommunens databeskyttelsesrådgiver kontaktes for yderligere rådgivning.
Til sammenligning fremgår det af den første version af konsekvensanalysen fra marts 2020, at konsekvensanalysen viste følgende fordeling af risici efter foranstaltninger var gennemført: 8 forhold med lav risiko (67 %), 2 forhold med mellem risiko (17 %) og 2 forhold med høj risiko (17 %).
Datatilsynet kan ved en sammenligning af de to versioner af konsekvensanalysen konstatere, at de to forhold, der oprindeligt var vurderet til at udgøre en høj risiko efter de gennemførte foranstaltninger, men som i den seneste version er vurderet til at være nedbragt til en mellem risiko er følgende:
- Styring af adgange og rettigheder til systemet (Det skal være muligt at styre, hvem der har adgang til systemet herunder om det er medarbejdere eller eksterne personer. Det skal være muligt, at kunne oprette adgangsprofiler, der svarer til de rettigheder en medarbejder bør have for at udføre sine arbejdsopgaver, og som sikrer funktionsadskillelse mellem roller/opgaveområder som f.eks. sagsbehandler og kontrolansvarlig.)
- Identifikation af fysiske personer via deres personoplysninger (At det sikres, at oplysninger om de registrerede i nødvendigt omfang kan anonymiseres eller pseudonymiseres) og Adgangen til personoplysninger (At det er muligt, at sikre adgangen til personoplysninger i systemer eller i dokumenter med personoplysninger ‐ således at adgange begrænses eksempelvis gennem sikkerhedsfacetter på dokumenter, der opbevares / journaliseres.)
Konsekvensanalysens afsnit med titlen ”1. Vurdering af behandlingens objektive forhold” indeholder kommunens navne på behandlingsprocesserne og en angivelse af, at formålet med behandlingen er kommunikation mellem skole og hjem. Derudover indeholder afsnittet en angivelse af lovgrundlaget i folkeskoleloven for behandlingerne, en angivelse af de eksisterende systemer – både primære og sekundære systemer – der understøtter behandlingsprocesserne, antallet af behandlere (medarbejdere i kommunen) og registrerede (borgere), det samlede antal datastrømme og det samlede antal personoplysninger. Det fremgår derudover, at følgende typer personoplysninger behandles: Adresser generelt, CPR-numre, familieforhold, helbredsoplysninger, personlig information, sikre filer om elever med følsomme oplysninger, personlige beskeder og fotos.
I afsnittet er det derudover angivet, at der behandles oplysninger om følgende typer registrerede: Skoleelever, medarbejdere og forældre/kontaktpersoner (borgere). Derudover er følgende typer behandlinger angivet: Anonymisering, begrænsning, indsamling, registrering, sletning, søgning, brug og formidling. De forskellige typer behandlinger er inddelt i lav, mellem og høj risiko. I forhold til de angivne behandlingsaktiviteter, er ”formidling” registreret under mellem risiko, hvor de øvrige behandlingsaktiviteter er registreret under lav risiko.
Det fremgår derudover af afsnittet i et felt om særlige forhold, at der ikke foregår automatisk behandling, profilering i stort omfang, og at der ikke er særlige borgerhensyn.
Endelig er opbevaringsperioden anført i afsnittet sammen med kommunens vurdering i forhold til, om der er krav om en databehandleraftale.
Konsekvensanalysens afsnit 2 med titlen ”Behandlingsprocessernes risikoscore, jf. Pactius Privacy” ses ikke at være udfyldt. Afsnittet indeholder to felter ud for overskrifterne sandsynlighed og konsekvens. Felterne er imidlertid tomme.
Efter afsnittet fremgår det, at der skal foretages en konsekvensanalyse ud fra objektive forhold (1) og den afledte risikoscore (2) og ved en stillingtagen til henholdsvis iboende risici og risici efter foranstaltninger er foretaget.
Konsekvensanalysen indeholder herefter en oversigt over følgende 12 forhold, der ifølge konsekvensanalysen skal håndteres for at sikre fysiske personers rettigheder og frihedsrettigheder:
- Styring af adgange og rettigheder til systemet.
- Kryptering og andre kommunikative sikkerhedsforanstaltninger, integrationskrav til andre systemer og adgange via mobile/bærbart udstyr.
- Identifikation af fysiske personer via deres personoplysninger og adgangen til personoplysninger og adgangen til personoplysninger.
- Muligheder for kontrol/ledelsestilsyn ift. adgange og brugen af systemet.
- Sikring af de specifikke behandlinger og disses lovkrav.
- Begrænsning/sletning/arkivering af personoplysninger.
- Fysisk sikring.
- Beredskabsstyring/damagekontrol.
- Håndtering af samtykkeerklæringer.
- Registreredes rettigheder og efterlevelse af offentlighedsloven.
- Automatiske afgørelser.
- Databehandler.
For hvert forhold er der foretaget en vurdering af den iboende risiko (lav, mellem eller høj) for at fysiske personers rettigheder og frihedsrettigheder krænkes, når behandlingen gennemføres, og såfremt sikkerhedsforanstaltninger ikke håndteres. Det er ved angivelsen af risikoen kort beskrevet, hvad der er risiko for, hvis det pågældende forhold ikke håndteres.
Derudover er der angivet en eller flere sikkerhedsforanstaltninger, der kan gennemføres. For hver af disse sikkerhedsforanstaltninger er det angivet, om der er implementeret en teknisk og/eller en organisatorisk foranstaltning, eller om sikkerhedsforanstaltningen helt er fravalgt. Der er i øvrigt henvist til referencenumre til kommunens risikovurdering.
I konsekvensanalysen fremgår det, at der er foretaget en vurdering af risikoen efter foranstaltningen (lille, mellem eller høj). I den seneste version af konsekvensanalysen, som tilsynet har modtaget, er det ved angivelsen af størrelsen af risikoen kort beskrevet, hvad der er risiko for, efter at de beskrevne sikkerhedsforanstaltninger er implementeret. Det er også tilfældet i forhold til de to ovenfor nævnte forhold, hvor det fremgår i den seneste version af konsekvensanalysen, at risikoen er nedbragt til at være mellem fra høj i den første version af konsekvensanalysen.
I forhold til forholdet om styring af adgange og rettigheder til systemet er følgende anført:
”1) Som følge af manglende styring af autenfikationsmuligheder kan brugeren logge ind med andre kommunernes login samt unilogin. Brugeren kan dog ikke længere få adgang til følsomme personoplysninger via privat NemID 2) Manglende funktionsadskillelse gør det muligt at tilgå alle brugerens identiteter (fx medarbejder i København, medarbejder Gentofte, forældre) som har forskellige rettigheder på tværs af indetiteterne med ét login. 3) Der foregår brugerstyring via Unilogin, som kommunen ikke administrerer.”
I forhold til forholdet om identifikation af fysiske personer via deres personoplysninger og adgangen til personoplysninger er følgende anført:
”1) Udfordringer med autenfikation og funktionsadskillelse kan medføre at brugere kan logge ind med ikke KK godkendte autenfikationer. Man kan dog ikke længere tilgå følsomme oplysninger via NemID, hvilket sænker risikoen”
Endelig indeholder konsekvensanalysen tre kolonner under overskriften ”Hjælpekolonner”. Det fremgår, at hvis der er mere end et primært system, som understøtter behandlingsprocessen anvendes hjælpekolonner til registrering af de enkelte primære systemers karakteristika. Det fremgår videre, at hvis der er forskel på sikkerhedsniveauet af foranstaltninger i de primære systemer anvendes (overføres) informationer om tekniske og organisatoriske foranstaltninger med udgangspunkt i det system, der giver mindst sikkerhed til nogle andre kolonner i konsekvensanalysen, hvorefter disse danner grundlag for konsekvensvurderingen.
I de tre kolonner er følgende systemer indsat: KMD elev (skole), UNI-login og KMD institution (dagtilbud). Det fremgår i forhold til alle tre systemer, at de sender data. Der er ikke anført oplysninger i kolonnerne om sikkerhedsniveauet af foranstaltninger.
Datatilsynet har forstået, at vurderingerne i de fremsendte risikovurderingsskemaer, som Københavns Kommune har fremsendt som supplement til konsekvensanalyserne, er baggrunden for nogle af oplysningerne i konsekvensanalyserne.
De to risikovurderingsskemaer indeholder en række kontrolspørgsmål, som er inddelt i følgende temaer:
- Fysisk sikring af lokation (perimetersikring) og sikring af adgangspunkter (servere, routere m.v.)
- Procedurer og rolle/opgavefordeling for understøttelse af tekniske sikkerhedsforanstaltninger (adgangstildeling, logreview m.v.)
- Den registreredes adgang til rettelse/opdatering af registrerede oplysninger
- Mobilt udstyr og fjernarbejdspladser
- Leverandørforhold
- Anskaffelse, udvikling og vedligeholdelse af systemer
- Sårbarhedsstyring
- Kryptering
- Logning og overvågning
- Nedbrud, backup og disaster recovery
- Dokumentation
- Kommunikationssikkerhed
Skemaet fra 2020 indeholder 77 spørgsmål og skemaet fra 2021 indeholder 92 spørgsmål. I skemaet fra 2020 er der en fane med titlen ”Beregningsmotor”, hvor der for hvert kontrolspørgsmål er udfyldt kolonner med bl.a. risikobeskrivelser, en angivelse af trusler, beskrivelse af sårbarheder, en vurdering af initial risiko og (rest)risiko, vurdering af sandsynlighed og konsekvens, en angivelse af om det indebærer en mulighed for tab af fortrolighed, integritet og/eller tilgængelighed og forslag til kontroller, der mindsker risikoen. Risikovurderingsskemaet fra 2021 indeholder ikke denne fane.
Efter at have sammenlignet referencenumrene i konsekvensanalyserne med de numre, der fremgår af risikovurderingsskemaerne, kan Datatilsynet imidlertid konstatere, at emnerne, som de pågældende referencenumre vedrører, ikke svarer til de tilsvarende numre i risikovurderingsskemaerne.
Efter at have drøftet dette telefonisk med Københavns Kommune har kommunen efterfølgende fremsendt et Excel ark med titlen ”DPO - Mapning”. Referencenumre, der er henvist til i konsekvensanalysen, svarer til numrene i dette Excel ark. Datatilsynet har forstået på Københavns Kommune, at skabelonen i Excel arket ikke har været implementeret i drift, og at den derfor ikke er udfyldt. Skabelonen indeholder 91 spørgsmål til, om forskellige typer foranstaltninger er implementeret .
Københavns Kommune oplyste i den forbindelse, at referencenumrene i konsekvensanalysen muligvis ikke er blevet opdateret i forbindelse med, at det i kommunen blev besluttet alligevel ikke at anvende skabelonen ”DPO - Mapning” i drift. Datatilsynet har forstået, at dette er årsagen til, at referencenumrene ikke svarer til numrene i de fremsendte risikovurderingsskemaer, som er anvendt i stedet for skabelonen ”DPO - Mapning”.
Københavns Kommune har derudover oplyst, at skabelonen ”DPO – Mapning” er en del af forarbejdet til det risikovurderingskoncept, der er anvendt i 2020 og 2021. I den forbindelse har Københavns Kommune bemærket, at selvom skabelonen ikke har været anvendt i drift, peger den fortsat på de risikoscenarier/den logik, der lå til grund for de enkelte spørgsmål i det anvendte risikovurderingskoncept.
3.3. Anvendelse af AULA
3.3.1. Tilsynsrapport fra databeskyttelsesrådgiver
Datatilsynet har gennemgået den fremsendte tilsynsrapport af 21. december 2022 fra Københavns Kommunes databeskyttelsesrådgiver. Det fremgår af rapporten, at kommunens databeskyttelsesrådgiver på foranledning af kommunens borgerrådgiver har undersøgt opbevaring af elektroniske børne- og elevmapper i it-systemerne SharePoint og AULA.
Datatilsynet har forstået på tilsynsrapporten, at Københavns Kommunes databeskyttelsesrådgiver konkluderer, at kommunen har instrueret skoler og institutioner i at anvende AULA til formål, som det ikke oprindeligt var tiltænkt til, og at der ikke i den forbindelse er foretaget de nødvendige vurderinger, herunder bl.a. risikovurdering i forhold til journalisering, arkivering og den praktiske anvendelse i institutionerne og skoler.
Det følgende fremgår i tilsynsrapporten om databeskyttelsesrådgiverens observationer i forhold til anvendelsen af AULA:
”Anvendelse af Aula
I BUF er det på skoleområdet besluttet, at notater og andre skriftlige oplysninger om eleverne, indeholdende personoplysninger, skal gemmes i AULA.
På daginstitutionsområdet er det besluttet at notater og andre skriftlige oplysninger om eleverne indeholdende personoplysninger, skal gemmes i AULA eller Hjernen & Hjertet.
Forvaltningen har instrueret skoler- og institutioner i brugen af en løsning, som dels ikke har været tiltænkt formålet, dels ikke kunne leve op til kravene. Forvaltningen har endvidere instrueret i brugen af AULA sikker fildeling, uden at have foretaget de nødvendige vurderinger, herunder bl.a. risikovurdering i forhold til. journaliseringen, arkivering og den praktiske anvendelse i institutionerne og skoler.
Forvaltningen har oplyst at, man har sigtet mod at AULA blev journalsystemet for dagtilbud og skoler. Det er forvaltningens vurdering, at dette ikke kommer til at blive opfyldt. Udfordringen med journalisering på skoler og i dagtilbud er noget forvaltningen til stadighed er opmærksom på, og der arbejdes på at finde en varig løsning herpå målrettet sektoren, herunder sikring af, at de notater mv der nu gemmes i AULA sikker fildeling, vil blive journaliseret. Dette arbejde pågår i øjeblikket i samarbejde med KIT med henblik på at anvende eksisterende systemer i KK.”
Herefter fremgår det følgende om databeskyttelsesrådgiverens konklusioner og anbefalinger i forhold til anvendelsen af AULA:
”Anvendelse af Aula
Det henstilles, at forvaltningen ændrer den instruks der er givet til skoler og institutioner omkring brugen af AULA sikker fildeling, og hurtigst muligt finder en permanent løsning der kan understøtte journaliseringen på skole – og institutionsområdet.
Det anbefales endvidere at forvaltningen får afdækket de egentlige journaliseringsbehov, på skoler og institutioner herunder om de ”journaliseringer” de decentrale enheder foretager er sikret i andre processer og hvor mange ansatte der reelt set varetager journaliseringsopgaverne – for derigennem at kunne foretage en vurdering af hvorvidt e-Doc kan anvendes.”
3.3.2. Københavns Kommunes bemærkninger
Københavns Kommune har i to udtalelser til Datatilsynet besvaret tilsynets spørgsmål vedrørende den interne tilsynsrapport fra kommunens databeskyttelsesrådgiver. Københavns Kommune har i den forbindelse oplyst, at Børne- og elevmapper er udfaset, og at data er journaliseret i kommunens ESDH-system. Kommunen har i den forbindelse oplyst, at der aldrig har været overført data/filer fra Børne- og elevmapper til AULA.
I forhold til databeskyttelsesrådgiverens rapport har Københavns Kommune præciseret, at Børne- og Ungdomsforvaltningen i kommunen aldrig har vejledt i eller anvendt AULA til journalisering eller instrueret i, at underretninger og udredninger skulle placeres i AULA, selvom det kan tolkes sådan i rapporten. I den forbindelse har kommunen oplyst, at det er Børne- og Ungdomsforvaltningens opfattelse, at rapportens fokus på journalisering kontra notatpligt giver et misvisende billede af praksis for dokumenthåndtering og anvendelsen af AULA sikre filer i kommunen.
Det er i øvrigt Børne- og Ungdomsforvaltningens opfattelse, at det ikke er korrekt, at AULA ikke kan håndtere opbevaring af pædagogisk dokumentation. I den forbindelse har kommunen bemærket, at Sikker fildeling og besked-funktionen i AULA er beregnet til at understøtte det daglige arbejde og dokumentation. I den forbindelse henviser kommunen til KOMBITs brugervejledning, hvor det bl.a. fremgår, at AULA giver mulighed for at samle de følsomme personoplysninger ét sikkert sted. Københavns Kommune har bemærket, at de har påpeget dette over for kommunens databeskyttelsesrådgiver.
- Københavns Kommune derudover oplyst, at sikre filer i AULA oprettes ud fra følgende skabeloner:
- Dagsorden
- Pædagogisk notat (arbejdsark + statusark)
- Indstilling til visitation fra en almen dagtilbudsplads
- Indberetning af magtanvendelse
- Observation
- Meddelelsesbog (hhv. 0. klasse, 1-6. klasse, 7-9. klasse)
- Forældresamtale
- Bekymring, episode
- Netværksmøde (dagsorden og referat)
- Referat.
I den forbindelse har kommunen oplyst, at der ikke er en skabelon til støtteansøgninger, udredninger og underretninger, da disse arbejdsområder varetages i fagsystemer andre steder i Børne- og Ungdomsforvaltningen og Socialforvaltningen.
I forhold til formålet med opbevaringen af filerne i AULA har Københavns Kommune oplyst, at det er, at
- Understøtte det pædagogiske arbejde / den pædagogiske dokumentation (notatpligt), og at
- Sikre kommunikationen mellem skole/dagtilbud og hjem.
Københavns Kommune er af den opfattelse, at anvendelsen af AULA som kommunikationsplatform og værktøj for pædagogisk dokumentation, herunder overholdelse af notatpligten, ligger inden for AULAs formål og de formål, der er indeholdt i de gennemførte risikovurderinger. Derudover har kommunen oplyst, at kommunens konsekvensanalyse for AULA også omfatter de behandlingsaktiviteter, der relaterer sig til formålet om at understøtte det pædagogiske arbejde/den pædagogiske dokumentation (notatpligt). I den forbindelse har kommunen oplyst, at den pædagogiske dokumentation er relevant for kommunikation og forældresamarbejde.
Københavns Kommune har i øvrigt oplyst, at der er planlagt opdatering af konsekvensanalysen i efteråret 2023. I den forbindelse har kommunen oplyst, at der ikke er foretaget konsekvensanalyse siden april 2021, da der ikke er sket væsentlige ændringer i anvendelsen af AULA. Ifølge kommunen er der i den mellemliggende periode arbejdet med at minimere risikoen i AULA, f.eks. ved at dokumenter ikke længere sendes som PDF-fil men som rettighedsstyrede links.
Københavns Kommune har herefter oplyst, at konsekvensanalysen fra april 2021 er retvisende bortset fra hjemmelsgrundlag og målgruppe, som burde have været opdateret med relevant faglovgivning og antal registrerede efter udrulningen af AULA til kommunens dagtilbud.
Københavns Kommune har oplyst, at der arbejdes på et nyt system til sikre filer, hvor formålet er at lave en forbedret løsning, der letter de pædagogiske medarbejderes arbejde samt sikrer automatisk journalisering af relevante dokumenter i kommunens ESDH-system.
Endelig har Københavns Kommune oplyst, at kommunen er enige med databeskyttelsesrådgiveren i, at der hurtigst muligt skal findes en permanent løsning til teknisk at understøtte journaliseringsbehovet.
I den forbindelse har kommunen oplyst, at de i efteråret 2022 valgte at igangsætte et journaliseringsprojekt for at sikre en relevant it-understøttelse af dokumenthåndtering og journaliseringsopgaver, der understøtter skolerne og institutionernes hverdag. Det fremgår herefter, at kommunen i 2023 var i gang med at gennemføre et pilotprojekt med henblik på fuld implementering i tredje kvartal 2024. Kommunen har oplyst, at de oprindeligt, i lighed med landets øvrige kommuner, forventede, at journaliseringsopgaven ville blive løst enten direkte i AULA eller via en integrationsmulighed til ESDH-systemet.
3.3.3. KOMBITs materiale
Københavns Kommune har bl.a. fremsendt KOMBITs notater vedrørende ti moduler i AULA, hvor der er foretaget en risiko- og konsekvensvurdering.
Det følgende fremgår bl.a. af KOMBITs beskrivelse af Sikker fildeling:
”For at sikre, at alle Institutioner sikkert kan arbejde med og opbevare filer, der indeholder følsomme personoplysninger eller fortrolige oplysninger findes der i Aula et område, som hedder Sikker fildeling.
I forbindelse med kravspecificeringen af Aula og afdækning af behovet for opbevaring af
følsomme personoplysninger om børn viste det sig at disse oplysninger kunne findes i mange forskellige systemer samt i papirform, både printet og i notesbøger. Det var derfor, for lærere og pædagoger, ofte svært at danne sig det fulde billede af et barn. Det blev derfor besluttet, at løsningen skulle understøtte sikker opbevaring af både noter (som i klasseloggen i SkoleIntra) samt flere typer af dokumenter fx indstillinger eller rivekradseskemaer i ét overblik, som i dag ikke understøttes i Skoleintra. Herudover blev det også besluttet, at dokumenter, forfattet i andre systemer, skulle kunne importeres til Sikker fildeling for at understøtte ét samlet opbevaringssted for dokumenter om et barn.
[…]
I Sikker fildeling har brugeren kun adgang til at se de dokumenter, der er delt med brugeren eller den gruppe som brugeren er medlem af.
I Sikker fildeling kan dokumenter opdeles i en række dokumentkategorier:
- Dagsorden
- Handleplan
- Indstilling
- Magtanvendelsesskema
- Observation
- Pædagogisk note
- Referat
- Rive/kradseskema
- Åben skabelon
Sikker fildeling tager altid udgangspunkt i et barn eller en gruppe, og et dokument skal dermed altid tilknyttes til en gruppe, og kan desuden tilknyttes til et enkelt barn. Hvis dokumentet tilknyttes en gruppe, så tilknyttes det teknisk set alle brugere i gruppen.
[…]
Egentlige Sager og dokumenter, som relaterer sig hertil, skal håndteres i kommunens ESDH-system eller særlige sagsbehandlingssystemer og ikke i Aula. Det er derfor vigtigt at skelne mellem et sagsbehandlingssystem indeholdende notater og sager og Aula som er et kommunikationssystem. Egentlig sagsbehandling bør foregå i et system, der er designet til dette formål (f.eks. et ESDH eller et specifikt fagsystem som DUBU).
[…]”
Københavns Kommune har som anført ovenfor under punkt 3.2.1. fremsendt risikovurderingsmateriale fra KOMBIT, herunder risikovurderinger af fem forskellige dataprocesser i AULA (Administration af brugere og grupper, Login og brugeroplysninger, Kommunikation og samarbejde i folkeskolen, Kommunikation og samarbejde i dagtilbud, Deling af oplysninger med andre it-løsninger) og 10 moduler i AULA.
Det fremgår af risikovurderingsskemaerne vedrørende formålet kommunikation og samarbejde i henholdsvis skole og dagtilbud (dataproces 3 og 4), at det bl.a. omfatter lagring og deling af dokumenter og filer med følsomme eller fortrolige personoplysninger.
Derudover fremgår det af risikovurderingsskemaet vedrørende modulet Sikker fildeling, at formålet er kommunikation og samarbejde mellem brugerne i AULA. Det fremgår videre, at for at alle institutioner sikkert kan arbejde med og opbevare filer, der indeholder følsomme eller fortrolige personoplysninger, findes der i AULA et område, der hedder Sikker fildeling.
3.4. Anmeldte brud på persondatasikkerheden vedrørende AULA
Baggrunden for at Datatilsynet oprindeligt har fundet det relevant at føre tilsyn med kommunerne med særligt fokus på de tekniske og organisatoriske sikkerhedsforanstaltninger, der er iagttaget for at leve op til kravet om et passende sikkerhedsniveau for behandlingerne i AULA, er, at tilsynet har set (og fortsat ser) en række anmeldte brud på persondatasikkerheden i forbindelse med behandlingen af personoplysninger i AULA.
I AULA behandles personoplysninger, herunder fortrolige og følsomme personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Derudover er systemets brugere ofte personer, der ikke som sit primære virke arbejder med databeskyttelse (herunder undervisere, pædagogisk personale samt elever og forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud fra langt størstedelen af landets kommuner – kan indebære, at der bør stilles skærpede krav til de dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger, jf. artikel 32 samt mitigerende tiltag til efterlevelsen af forordningens artikel 25.
En stor del af disse anmeldelser af brud på persondatasikkerheden i AULA vedrører, at personoplysninger er sendt til en eller flere forkerte modtagere i AULA. F.eks. hvor en besked eller sikker fil om et barn er sendt til et andet barns forældre, eller hvor en besked ved en fejl er sendt til en gruppe af modtagere i stedet for en bestemt modtager. Datatilsynet har også set tilfælde, hvor der ved fremsendelse af dokumenter til en eller flere forældre er blevet vedhæftet et forkert dokument, der indeholder oplysninger om et andet barn. Der er således sket en del utilsigtede videregivelser af personoplysninger om børn i AULA, herunder beskrivelser af børns koncentrationsbesvær, indstillinger til pædagogisk-psykologisk udredning, oplysninger om ordblindhed, skoleudtalelser samt handleplaner og vurdering om uddannelsesparathed.
Ved en umiddelbar søgning i Datatilsynets ESDH-system kan tilsynet konstatere, at tilsynet har modtaget mindst 35 anmeldelser af brud på persondatasikkerheden fra Københavns Kommune efter databeskyttelsesforordningens artikel 33, hvor AULA er nævnt i anmeldelsen.
Størstedelen af anmeldelserne vedrører hændelser, hvor en besked i AULA er sendt til en eller flere forkerte modtagere. Der er f.eks. tilfælde, hvor en pædagogisk psykologisk vurdering blev sendt til et andet barns forældre, og hvor en besked med oplysning om et barns ordblindhed blev sendt til et andet forældrepar i samme klasse. Der er derudover et tilfælde, hvor en forældregruppe på 72 personer ved en fejl blev tilføjet en AULA beskedtråd for medarbejdere, som bl.a. indeholdt mødereferater fra personalets møder med oplysninger om børn i institutionen og deres familier. Der er en lignende hændelse, hvor en lærer skulle sende en besked til et forældrepar vedrørende deres søn, men som ved en fejl sendte beskeden til 94 uvedkommende modtagere, som bl.a. omfattede medarbejdere på andre skoler i kommunen.
Derudover har Datatilsynet modtaget en anmeldelse fra kommunen om uautoriseret adgang til oplysninger om, hvorvidt kontaktpersoner i AULA (forældre) har forældremyndighed over et barn eller ej.
Datatilsynet har desuden modtaget tre anmeldelser fra kommunen, som vedrører uautoriseret adgang til oplysninger i AULA, hvor uvedkommende har logget ind på nogle AULA-brugeres profiler, da de i to af tilfældene har fået adgang til login-oplysninger.
4. Begrundelse for Datatilsynets afgørelse
4.1. Risikovurdering
Datatilsynet lægger til grund, at Københavns Kommune har tilsluttet sig de fremsendte risikovurderinger for AULA, som KOMBIT har udarbejdet, men at Københavns Kommunes risikovurdering på ét område adskiller sig fra KOMBITs risikovurdering. Datatilsynet har forstået, at det er i forhold til risikoen for uautoriseret adgang til AULA og data på grund af utilstrækkelig brugerautentifikation og uautoriseret adgang til data på grund af manglende eller utilstrækkelig funktionsadskillelse i systemadgange, hvor Københavns Kommune ikke er enig med KOMBITs vurdering af, at uautoriseret adgang som følge heraf er usandsynligt.
Datatilsynet har således foretaget en stikprøvevis gennemgang af KOMBITs risikovurderingsmateriale og en gennemgang af Københavns Kommunes risikovurdering med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet”. Datatilsynet har derudover gennemgået det øvrige materiale fremsendt af Københavns Kommune, herunder indstillingen til forlængelse af dispensation for brugerstyring af AULA, baggrundsnotatet om arbejdet med sikkerheden i AULA, tidslinjen for kommunens arbejde med at løfte sikkerhedsudfordringen i AULA og den fremsendte kopi af kommunens henvendelser til KOMBIT vedrørende udvikling af AULAs beskedmodul. Datatilsynet har desuden foretaget en stikprøvevis gennemgang af Københavns Kommunes risikovurderingsskemaer, som er fremsendt som supplement til kommunens konsekvensanalyser.
4.1.1. Relevante regler
Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.
Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2, for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.
Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder skal ske inden behandlingerne igangsættes.
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.
Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.
Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.
4.1.2. Generelt om krav til risikovurdering
Datatilsynet bemærker, at det ikke fremgår af databeskyttelsesforordningen, hvor detaljeret risikovurderingen skal være. Det er Datatilsynets opfattelse, at den dataansvarlige må fastlægge et passende niveau henset til de risici, som er relevante for den dataansvarliges behandling af personoplysninger.
Såfremt en leverandør, databehandler eller tilgængelige analyser fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Særligt når behandlingsaktiviteter i et system bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i den behandling af personoplysninger, der sker hos den dataansvarlige.
Det fremgår ikke eksplicit noget sted i databeskyttelsesforordningen, hvordan dokumentationen skal se ud, hvad det konkrete indhold skal være, eller hvad hyppigheden for ajourføring og opdatering skal være.
Datatilsynet finder, at dokumentationsforpligtelsen indebærer, at tilsynsmyndigheden – ud af det samlede materiale, som den dataansvarlige kan fremlægge – kan foretage en vurdering af, om behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det bør således fremgå af det fremlagte materiale, hvordan og på hvilket grundlag de databeskyttelsesretlige overvejelser er truffet. Dette er bl.a. i forhold til behandlingernes lovlighed og evnen til at sikre overholdelse af de registreredes rettigheder, overholdelsen af de databeskyttelsesretlige principper og sikring af et passende sikkerhedsniveau.
Derudover bør det fremgå, hvilke overvejelser, valg og fravalg der er foretaget med henblik på at sikre, at behandlingen af oplysningerne er i overensstemmelse med databeskyttelsesforordningen. Det skal i den forbindelse kunne tidsfæstes, hvornår og med hvilket indhold relevante overvejelser og handlinger er sket.
Det er Datatilsynets opfattelse, at en risikovurdering bør indeholde en vurdering af konsekvensen (f.eks. høj, medium, lav) for de registrerede ved tab af fortrolighed, tilgængelighed og integritet. Herefter skal det i risikovurderingen identificeres, hvilke trusler der er for tab af fortrolighed, tilgængelighed og integritet samt sandsynligheden (f.eks. høj, medium, lav) for, at truslen bliver realiseret. Endelig skal der i risikovurderingen ske en kortlægning af de eksisterende sikkerhedsforanstaltninger og deres bidrag til at reducere risikoen. På den baggrund kan de dataansvarlige vurdere risikoen og tage stilling til, om det er en acceptabel risiko, eller om der skal iværksættes yderligere foranstaltninger. Ved at forholde sig til disse elementer i en risikovurdering kan de dataansvarlige således dokumentere, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt på hvilken baggrund de vurderer, at de implementerede foranstaltninger har nedbragt risikoen.
4.1.3. Københavns Kommunes identificering og vurdering af risici
Efter en stikprøvevis gennemgang af det fremsendte risikovurderingsmateriale, som KOMBIT har udarbejdet, samt en gennemgang af Københavns Kommunes risikovurdering med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet” og det øvrige materiale fra Københavns Kommune, kan Datatilsynet konstatere, at Københavns Kommune har identificeret en række risici for de registrerede ved behandlingen af personoplysninger i AULA. I materialet fra KOMBIT ses der at være foretaget en vurdering af konsekvensen for de registrerede ved tab af fortrolighed, integritet og tilgængelighed og en vurdering af sandsynligheden for, at truslerne realiseres.
Københavns Kommune ses at have forholdt sig til disse risikovurderinger fra KOMBIT i kommunens risikovurdering samt i det fremsendte baggrundsnotat om arbejdet med sikkerheden i AULA. Det fremgår bl.a. af Københavns Kommunes risikovurdering, at kommunen deler synspunkterne i KOMBITs risikovurdering, og at kommunens mitigerende handlinger aktivt lægger sig op ad KOMBITs vurdering af risici.
Københavns Kommunes risikovurdering adskiller sig imidlertid som nævnt på ét område fra KOMBITs risikovurdering i forhold til vurderingen af risikoen for uautoriseret adgang som følge af utilstrækkelig brugerautentifikation og manglende eller utilstrækkelig funktionsadskillelse i systemadgange.
Datatilsynet finder på den baggrund, at Københavns Kommune har påvist at have identificeret og vurderet de væsentligste risici, som kommunens behandling af personoplysninger udgør for de registrerede. Københavns Kommune ses at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt hvordan de har forholdt sig til KOMBITs risikovurdering.
4.1.4. Københavns Kommunes beskrivelse af sikkerhedsforanstaltninger
Ved en gennemgang af materialet fremsendt af Københavns Kommune, herunder særligt baggrundsnotatet om arbejdet med sikkerheden i AULA, tidslinjen for kommunens arbejde med at løfte sikkerhedsudfordringen i AULA, den fremsendte kopi af kommunens henvendelser til KOMBIT vedrørende udvikling af AULAs beskedmodul og risikovurderingen med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet” finder Datatilsynet, at Københavns Kommune ses at have arbejdet meget seriøst og målrettet med at nedbringe de identificerede risici. I den forbindelse ses Københavns Kommune særligt at have arbejdet med at nedbringe den risiko, som brugen af UNI-login efter kommunens vurdering indebærer.
Derudover har Københavns Kommune i materialet forholdt sig til, hvilke foranstaltninger de i kommunen selv kan implementere, og hvilke tekniske foranstaltninger de skal anmode leverandøren implementere.
Datatilsynet har derudover konstateret ved en overordnet gennemgang af de beskrevne foranstaltninger, at foranstaltningerne umiddelbart ses at være relevante i forhold til at nedbringe de forskellige risici.
Det fremgår imidlertid ikke entydigt, at Københavns Kommune i deres risikovurdering har forholdt sig til alle de identificerede risici ved deres beskrivelse af foranstaltninger, herunder de risici der fremgår af risikovurderingsmaterialet fra KOMBIT. Oplysningerne i risikovurderingen og de øvrige dokumenter ses ikke at være struktureret på en måde, så det klart fremgår, hvilke foranstaltninger der er implementeret i forhold til de enkelte identificerede risici.
Datatilsynet kan ligeledes konstatere, at det ikke fremgår af risikovurderingen, hvordan Københavns Kommune har vurderet de identificerede risici efter de implementerede foranstaltninger. Det fremgår blot, at der kan opnås et acceptabelt sikkerhedsniveau i løsningen for de elementer, der ligger inden for forvaltningens handlingsrum omkring AULA.
Datatilsynet bemærker i den forbindelse, at kommunen som dataansvarlig for behandlingen af personoplysninger i AULA er ansvarlig for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med databeskyttelsesforordningen. Det følger af databeskyttelsesforordningens artikel 24, stk. 1. Dette gælder også, selvom det ligger uden for den dataansvarliges handlingsrum at implementere alle relevante foranstaltninger, der skal sikre dette i forhold til behandlingen af personoplysninger i en it-løsning. En vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder kan derfor ikke begrænses til at vedrøre de elementer, der ligger inden for den dataansvarliges råderum.
Efter en stikprøvevis gennemgang af Københavns Kommunes risikovurderingsskemaer fra henholdsvis 2020 og 2021, som er fremsendt som supplement til kommunens konsekvensanalyser, kan Datatilsynet imidlertid konstatere, at kommunen har forholdt sig til en række risici, heriblandt risici der ikke umiddelbart er omtalt i risikovurderingen med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet”. Kommunen ses endvidere i risikovurderingsskemaet fra 2020 at have foretaget en vurdering af, hvilken effekt det har på risikoen, at forskellige foranstaltninger er implementeret (hvor der er svaret bekræftende til kontrolspørgsmålene).
Det fremgår imidlertid ikke klart, om og i så fald hvordan disse risikovurderingsskemaer har sammenhæng med det øvrige materiale, der er omtalt ovenfor i dette afsnit. Københavns Kommune har alene oplyst, at disse skemaer blot skal ses som et supplement til konsekvensanalyserne.
Datatilsynet har ikke foretaget en tilbundsgående undersøgelse af, om og i så fald hvordan der er sammenhæng mellem alle de identificerede risici, herunder de risici der fremgår af KOMBIT’s risikovurderingsmateriale, og de foranstaltninger der er beskrevet i henholdsvis risikovurderingen med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet” og de to risikovurderingsskemaer fra 2020 og 2021. Dette vil være et stort og ressourcekrævende arbejde, da kommunen ikke i det forskellige materiale har struktureret det på en måde, så sammenhængen kan udledes.
På baggrund af en gennemgang af det samlede materiale finder Datatilsynet, at Københavns Kommune ikke til fulde har godtgjort, at kommunen har implementeret passende foranstaltninger med henblik på at nedbringe alle de identificerede risici, herunder de risici der fremgår af risikovurderingsmaterialet fra KOMBIT.
Datatilsynet har noteret sig, at Københavns Kommune arbejder på et revideret risikovurderingskoncept.
Datatilsynet anbefaler derfor, at Københavns Kommune i det reviderede risikovurderingskoncept strukturerer oplysninger på en måde, så det er muligt at sammenligne vurderingerne af risici før og efter, at foranstaltningerne er implementeret, og så sammenhængen mellem foranstaltninger og de enkelte risici fremgår. På den måde kan der dannes et overblik, der kan bidrage til at sikre, at alle de identificerede risici er vurderet og håndteret ved implementering af passende sikkerhedsforanstaltninger.
I sin vurdering af om en dataansvarlig har påvist at have sikret et passende sikkerhedsniveau, ser Datatilsynet på alle de faktiske omstændigheder og dokumentation i forhold til, om tilsynet ud fra det samlede materiale er betrygget i, at der en sammenhæng mellem alle de identificerede risici og de implementerede foranstaltninger, og om disse foranstaltninger ses at være tilstrækkelige til at nedbringe de identificerede risici.
4.1.5. Særligt vedrørende risiko for fejl fremsendelse i AULAs beskedmodul
Det er generelt Datatilsynets opfattelse, at dataansvarlige der i et vist systematisk omfang anvender en teknisk funktionalitet til at sende beskeder med bl.a. fortrolige og/eller følsomme oplysninger bør undersøge, om det er muligt at gennemføre en eller flere tekniske foranstaltninger for at mindske risikoen for fejlfremsendelse, eller om det er muligt at indrette beskedfunktionen på en måde, der mindsker en sådan risiko.
På den baggrund skal Datatilsynet anbefale, at Københavns Kommune sammen med KOMBIT og de øvrige dataansvarlige kommuner foretager en sådan undersøgelse. Dette er særligt henset til, at AULAs brugere ofte er personer, der ikke som sit primære virke arbejder med databeskyttelse (undervisere, pædagogisk personale samt forældre), hvilket efter tilsynets opfattelse – i lyset af de mange anmeldte brud – kan indebære, at der bør stilles skærpede krav til den dataansvarliges iagttagelse af både tekniske og organisatoriske foranstaltninger jf. artikel 32.
Datatilsynet kan i den forbindelse nævne, at tilsynet har konstateret, at AULAs beskedmodul er indrettet på en måde, så det i beskeder, der er sendt til flere modtagere, er mest oplagt at svare alle personer i beskedtråden. Der er et mindre synligt felt, hvor det er muligt at svare afsenderen af beskeden direkte. I feltet hvor brugeren svarer alle i beskedtråden, er der dog information om, hvor mange personer brugeren svarer. En sådan indretning af beskedfunktionen indebærer efter Datatilsynets opfattelse en risiko for, at brugere af AULA utilsigtet sender en besked til alle modtagere i en beskedtråd i stedet for alene til afsenderen af beskeden. I den forbindelse er der risiko for, at der uberettiget sker videregivelse af (følsomme eller fortrolige) personoplysninger til forkerte modtagere.
Derudover har Datatilsynet konstateret, at der automatisk opstilles forslag til modtagere, når brugeren begynder at skrive i modtagerfeltet ”Til”. Det er i den forbindelse både medarbejdere, børn og forældre, der foreslås som modtagere. Det indebærer efter Datatilsynets opfattelse en risiko for, at brugere vælger en eller flere forkerte modtagere i listen af foreslåede modtagere, eller at de vælger f.eks. alle foreslåede forældre, hvis fornavn eller efternavn indeholder de indtastede bogstaver, i stedet for én bestemt modtager.
4.1.6. Samlet vurdering vedrørende risikovurdering
Efter en stikprøvevis gennemgang af KOMBITs risikovurderingsmateriale og en gennemgang af Københavns Kommunes risikovurdering med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet” samt det øvrige materiale, der er fremsendt, finder Datatilsynet, at Københavns Kommune har påvist at have identificeret de væsentligste risici, som kommunens behandling af personoplysninger i AULA udgør for de registrerede. Københavns Kommune ses således at have dokumenteret, hvordan de har vurderet risikoen for de registrerede ved de pågældende behandlingsaktiviteter, samt hvordan de har forholdt sig til KOMBITs risikovurdering.
Københavns Kommune ses at have arbejdet meget seriøst og målrettet med at nedbringe de identificerede risici. I den forbindelse ses Københavns Kommune særligt at have arbejdet med at nedbringe den risiko, som brugen af UNI-login efter kommunens vurdering indebærer.
Det er imidlertid Datatilsynets vurdering, at Københavns Kommune ikke til fulde har godtgjort, at kommunen har implementeret passende foranstaltninger med henblik på at nedbringe alle de identificerede risici, herunder de risici der fremgår af risikovurderingsmaterialet fra KOMBIT.
Datatilsynet har noteret sig, at Københavns Kommune arbejder på et revideret risikovurderingskoncept.
Datatilsynet anbefaler derfor, at Københavns Kommune i det reviderede risikovurderingskoncept strukturerer oplysninger på en måde, så det er muligt at sammenligne vurderingerne af risici før og efter, at foranstaltningerne er implementeret, og så sammenhængen mellem foranstaltninger og de enkelte risici fremgår. På den måde kan der dannes et overblik, der kan bidrage til at sikre, at alle de identificerede risici er vurderet og håndteret ved implementering af passende sikkerhedsforanstaltninger.
Datatilsynet har ved valg af reaktion lagt vægt på, at Københavns Kommune ses at have arbejdet med og forsøgt at nedbringe de identificerede risici. Københavns Kommune ses således både at have implementeret foranstaltninger, der ligger inden for kommunens handlingsrum, og at have kontaktet KOMBIT med forslag til løsninger på forskellige problemstillinger. Derudover har Københavns Kommune forholdt sig aktivt til KOMBITs risikovurdering, hvor kommunen har vurderet, at kommunens risikovurdering adskiller sig fra KOMBITs risikovurdering på ét område.
Københavns Kommunes risikovurdering og det øvrige fremsendte materiale, herunder risikovurderingsskemaerne, der supplerer konsekvensanalysen, er imidlertid efter Datatilsynets opfattelse ikke tilstrækkelig detaljeret eller struktureret på en måde, så det entydigt fremgår, om og i så fald hvordan kommunen har forholdt sig til alle de identificerede risici ved deres beskrivelse af foranstaltninger, herunder de risici der fremgår af risikovurderingsmaterialet fra KOMBIT. Det fremgår endvidere ikke klart, om og i så fald hvordan der er sammenhæng mellem det fremsendte materiale, hvor kommunen har foretaget en risikovurdering.
4.2. Konsekvensanalyse
4.2.1. Krav om konsekvensanalyse
Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, foretager den dataansvarlige forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger. En enkelt analyse kan omfatte flere lignende behandlingsaktiviteter, der indebærer lignende høje risici.
I Artikel 29-gruppens (nu Det Europæiske Databeskyttelsesråd, EDPB) retningslinjer om konsekvensanalyse vedrørende databeskyttelse[6] er der fastsat kriterier, der kan hjælpe til at identificere de behandlinger, der vil kræve en konsekvensanalyse. Det følger af retningslinjerne, at en dataansvarlig i de fleste tilfælde kan antage, at en behandling, der opfylder to af kriterierne, skal gøres til genstand for en konsekvensanalyse vedrørende databeskyttelse.
Behandlingen af personoplysninger i AULA opfylder to af disse kriterier, idet der behandles følsomme og fortrolige personoplysninger om sårbare registrerede, som bl.a. omfatter børn. Der er i øvrigt tale om et system, der anvendes til samarbejde og kommunikation mellem skole/daginstitution og børn og deres forældre. I systemet udveksles således personoplysninger i bl.a. beskeder, og der er mange brugere tilknyttet systemet. Det er Datatilsynets opfattelse, at denne kommunikation indebærer en risiko for, at der som følge af menneskelige fejl utilsigtet videregives personoplysninger til forkerte brugere. Dette er særligt henset til, at brugerne udgør både medarbejdere i kommunen samt børn og deres forældre, og at der – uanset vejledning – vil ske menneskelige fejl, for hvilke der ikke er nogle umiddelbare mitigerende foranstaltninger.
Generelt er der efter de typer af oplysninger, der behandles i AULA, mængden af oplysninger, antallet af transaktioner (udveksling af oplysninger i forbindelse med kommunikation) og brugernes forskellighed i sammensætning, ikke kun en potentiel risiko for, at risikoscenariet indtræffer men også en reel sådan.
Konsekvenserne for de registreredes rettigheder kan efter Datatilsynets opfattelse antage nærmest hele skalaen af alvorlighed for konsekvenser, fra de mindre indgribende såsom modtagelse af utilsigtede beskeder og tilsvarende over de mere alvorlige såsom væsentligt tab af omdømme til i den yderste konsekvens, hvor en registreredes liv bringes i fare ved afsløring af en hemmeligholdt adresse, for blot at nævne nogle mulige konsekvenser.
Datatilsynet bemærker, at enhver risiko, der indebærer en høj konsekvens for de registreredes rettigheder og frihedsrettigheder – også ved relativt lave sandsynligheder for, at risikoen realiseres – sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, hvilket udløser pligten til at gennemføre en konsekvensanalyse vedrørende databeskyttelse, jf. forordningens artikel 35, stk. 1.
Datatilsynet har endvidere på baggrund af anmeldelser af brud på persondatasikkerheden vedrørende AULA generelt konstateret, at flere af disse, sandsynligvis ville indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Derudover har tilsynet i flere tilfælde konstateret, at kommuner har anset betingelserne i artikel 34 opfyldt og har underrettet de registrerede om brud på persondatasikkerheden i AULA. De pågældende kommuner har således vurderet, at bruddene sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
På baggrund af ovenstående er Datatilsynet enig med Københavns Kommunes vurdering af, at behandlingen af personoplysninger i AULA indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Datatilsynet finder derfor, at behandlingsaktiviteterne der foretages i AULA er omfattet af kravet om en konsekvensanalyse vedrørende databeskyttelse forud for ibrugtagningen af AULA.
4.2.2. Tidspunkt for udarbejdelse af konsekvensanalyse
Det følger af databeskyttelsesforordningens artikel 35, stk. 1, at en konsekvensanalyse vedrørende databeskyttelse skal foretages forud for behandlingen.
Datatilsynet lægger til grund, at Københavns Kommunes konsekvensanalyse er udarbejdet den 3. marts 2020, da denne dato er anført på konsekvensanalysens forside. Datatilsynet har i øvrigt modtaget en opdateret version af konsekvensanalysen, som ses at være udarbejdet den 20. april 2021.
Datatilsynet har i forbindelse med et tilsynsbesøg hos KOMBIT i december 2019 konstateret, at der i forbindelse med udviklingen af AULA har været uklarhed om, hvor dataansvaret for behandlingen af personoplysninger i løsningen er placeret. Kommunerne såvel som KOMBIT har således været af den opfattelse, at dataansvaret for behandlingen af personoplysninger i AULA – og dermed også ansvaret for at foretage risikovurderinger og konsekvensanalyser – var placeret hos KOMBIT.
Som anført ovenfor under punkt 1 konstaterede Datatilsynet på det pågældende tilsynsbesøg hos KOMBIT, at KOMBIT ikke var at betragte som dataansvarlig, og derfor oplyste tilsynet KOMBIT om, at KOMBIT skulle sikre, at alle kommuner blev informeret om deres dataansvar, og at KOMBIT skulle overdrage alt nødvendigt materiale og information til kommunerne i den anledning.
Datatilsynet kan i øvrigt konstatere, Københavns Kommune har forholdt sig til deres ansvar i forhold til databeskyttelsesreglerne i marts 2020. Det fremgår af det fremsendte baggrundsnotat om arbejdet med sikkerheden i AULA i Børne- og Ungdomsforvaltningen, at da det var en kommunal beslutning at gå i drift med AULA, er det op til kommunerne at vurdere om systemet og den infrastruktur, som systemet er underlagt (UNI-login) lever op til databeskyttelsesforordningen.
Datatilsynet lægger til grund, at denne uklarhed om dataansvaret har været en årsag til, at Københavns Kommunes konsekvensanalyse ikke har været udarbejdet forud for deres behandling af personoplysninger i AULA. I den forbindelse lægger Datatilsynet til grund, at Københavns Kommune ved ibrugtagning af AULA var af den opfattelse, at KOMBIT var dataansvarlig for behandlingen af personoplysningerne i løsningen og dermed også ansvarlig for udarbejdelsen af en risikovurdering og konsekvensanalyse.
På baggrund af Datatilsynets tilsynsbesøg hos KOMBIT i december 2019 og det fremsendte materiale fra KOMBIT i den forbindelse lægger Datatilsynet til grund, at KOMBIT i forbindelse med udviklingen af AULA – og før det blev konstateret, at kommunerne var dataansvarlige – har foretaget vurderinger af risikoen og konsekvensen for de registrerede ved behandling af personoplysninger i AULA, som viser, at behandlingen indebærer en høj risiko for de registrerede.
Det er således Datatilsynets opfattelse, at Københavns Kommune – ligesom de øvrige kommuner – burde have erkendt den høje risiko ved behandlingen af personoplysninger i AULA i forbindelse med, at KOMBIT informerede kommunerne om deres dataansvar i forhold til behandlingen af personoplysninger i AULA og overdrog alt nødvendigt materiale i den forbindelse. Det er Datatilsynets forventning, at KOMBIT har informeret kommunerne herom umiddelbart efter tilsynsbesøget i december 2019.
Datatilsynet kan konstatere, at Københavns Kommune har udarbejdet en konsekvensanalyse i marts 2020 og dermed omkring tre måneder efter, at der var klarhed om dataansvaret.
Datatilsynet lægger på den baggrund til grund, at Københavns Kommune umiddelbart efter konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer, er påbegyndt udarbejdelsen af en konsekvensanalyse, som færdiggjort ca. tre måneder herefter.
Datatilsynet finder på den baggrund, at Københavns Kommune for så vidt angår tidspunktet for udarbejdelsen af deres konsekvensanalyse har handlet i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1.
4.2.3. Minimumskrav til konsekvensanalyser
Databeskyttelsesforordningens artikel 35 indeholder en række krav, som en konsekvensanalyse som minimum skal opfylde. Disse krav følger af stk. 7 og omfatter følgende:
- en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
- en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
- en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1, og
- de foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
Databeskyttelsesforordningens regler om konsekvensanalyse skal sikre, at ingen behandling, hvor der er en iboende høj risiko for de registreredes rettigheder og frihedsrettigheder, igangsættes, uden at den dataansvarlige har arbejdet med og nedbragt sådanne risici.
En konsekvensanalyse vedrørende databeskyttelse er således et værktøj, som gør den dataansvarlige i stand til at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde.
Databeskyttelsesforordningen giver de dataansvarlige fleksibilitet til at fastlægge den nøjagtige struktur og form af konsekvensanalysen vedrørende databeskyttelse. Men uanset formen skal en konsekvensanalyse vedrørende databeskyttelse indeholde ovenstående mindstekrav og dermed være en egentlig vurdering af risici, der gør det muligt for de dataansvarlige at træffe foranstaltninger for at afhjælpe dem.
Datatilsynet har gennemgået Københavns Kommunes konsekvensanalyse i forhold til mindstekravene i databeskyttelsesforordningens artikel 35, stk. 7. Datatilsynet har i den forbindelse særligt set på indholdet af den seneste fremsendte version af konsekvensanalysen fra april 2021 og sammenlignet den med den tidligere version fra marts 2020.
Datatilsynet har noteret sig, at Københavns Kommune havde planlagt en opdatering af konsekvensanalysen i efteråret 2023 med afsæt i kommunens nye koncept for risikovurderinger inklusive konsekvensanalyser.
Det er tilsynets samlede vurdering, at Københavns Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil, jf. herved forordningens artikel 35, stk. 7, litra a-d. Konsekvensanalysen indeholder bl.a. ikke vurderinger af nødvendighed og proportionalitet.
Nedenfor følger Datatilsynets vurdering af konsekvensanalysen i forhold til de enkelte mindstekrav, der følger af artikel 35, stk. 7, litra a-d.
Ad a) Systematisk beskrivelse af behandlingsaktiviteter og formål
Det er Datatilsynets opfattelse, at kravet om en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen jf. databeskyttelsesforordningens artikel 35, stk. 7, litra a, indebærer, at de dataansvarlige skal foretage en systematisk beskrivelse af de forskellige former for behandling, f.eks. indsamling, registrering, videregivelse mv., som personoplysningerne vil blive genstand for samt en klar beskrivelse og definition af de personoplysninger, som behandles. Derudover indebærer kravet, at konsekvensanalysen skal indeholde en beskrivelse af formålet med behandlingen.
Det er derudover Datatilsynets opfattelse, at en systematisk beskrivelse bør indeholde oplysninger om det retlige grundlag, der er for behandlingen (hjemmel), hvilke kategorier af registrerede der behandles oplysninger om, antallet af registrerede, information om hvor oplysningerne kommer fra, hvem – inden for og uden for organisationen – der kan tilgå oplysningerne, hvor længe oplysningerne opbevares, om der sker overførsel af oplysninger til tredjelande (og på hvilket grundlag), og om der anvendes nye teknologier til behandlingen af personoplysninger. Den systematiske beskrivelse skal således bidrage til den dataansvarliges vurdering af den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Datatilsynet skal i den forbindelse henvise til præambelbetragtning nr. 90[7].
Datatilsynet kan konstatere, at København Kommunes konsekvensanalyse bl.a. indeholder information om forskellige former for behandlingsaktiviteter, som personoplysningerne undergår i AULA, formålet med behandlingen af personoplysningerne, antallet af registrerede, information om at oplysningerne stammer fra KMD elev (skole), UNI-login og KMD institution (dagtilbud), og hvor længe oplysningerne opbevares.
Det fremgår derudover af konsekvensanalysen, at der behandles oplysninger om skoleelever, medarbejdere og forældre/kontaktpersoner. Datatilsynet har forstået på konsekvensanalysen, at Københavns Kommune vurderer, at der ikke er særlige borgerhensyn ved behandlingen af personoplysninger i AULA. Det er Datatilsynets opfattelse, at der ved kommunernes behandling af personoplysninger i AULA er særlige borgerhensyn til stede, da der bl.a. behandles oplysninger om børn, som er sårbare fysiske personer. Datatilsynet bemærker i den forbindelse, at børn og unge har ret til en særlig beskyttelse af deres personoplysninger ifølge reglerne i databeskyttelsesforordningen. Datatilsynet skal i den forbindelse henvise til forordningens præambelbetragtning nr. 38[8].
Konsekvensanalysen indeholder derudover information om, hvilke typer personoplysninger der behandles. Det er imidlertid ikke anført, hvilke kategorier af personoplysninger, der er tale om, herunder om der er tale om særlige kategorier af personoplysninger (følsomme personoplysninger), almindelige personoplysninger og/eller fortrolige personoplysninger. Datatilsynet kan imidlertid konstatere ud fra oplistningen af oplysningstyperne, at der både er tale om almindelige, fortrolige og følsomme personoplysninger.
I forhold til lovgrundlaget for behandlingerne i AULA er følgende anført i konsekvensanalysen: ”Folkeskoleloven 45(2)(2)”. Det fremgår imidlertid ikke, hvad det retlige grundlag i databeskyttelsesforordningen er for behandlingen af personoplysninger.
Derudover fremgår det ikke af konsekvensanalysen, hvem – inden for og uden for organisationen – der kan tilgå oplysningerne, om der sker overførsel af oplysninger til tredjelande (og på hvilket grundlag), eller om der anvendes nye teknologier til behandlingen af personoplysninger.
Det er på den baggrund Datatilsynets vurdering, at Københavns Kommune har beskrevet deres behandlingsaktiviteter i AULA og formålet med behandlingen, men at beskrivelsen ikke er tilstrækkelig detaljeret, da den ikke indeholder de ovenfor nævnte oplysninger. Mindstekravet i artikel 35, stk. 7, litra a er således ikke opfyldt.
Ad b) Vurdering af nødvendighed og proportionalitet
Datatilsynet kan konstatere, at Københavns Kommunes konsekvensanalyse ikke indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, som er et krav efter artikel 35, stk. 7, litra b.
Ad c) og d) Vurdering af risici og foranstaltninger
Københavns Kommunes konsekvensanalyse indeholder en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder, hvis 12 forhold ikke håndteres. Det er angivet, om Københavns Kommune vurderer at risikoen er lille, mellem eller høj. Det fremgår imidlertid ikke, hvad baggrunden er for denne vurdering, herunder hvordan risikoens sandsynlighed og alvor er vurderet.
Datatilsynet kan konstatere, at risikovurderingsskemaet fra 2020, som kommunen har fremsendt som supplement til konsekvensanalysen, indeholder en vurdering af sandsynligheden og konsekvensen i forhold til en række trusler. Der er i den forbindelse svaret på en række kontrolspørgsmål om forskellige foranstaltninger. Datatilsynet har forstået, at disse vurderinger er baggrunden for oplysningerne i konsekvensanalysen. Sammenhængen mellem konsekvensanalysen og de bagvedliggende vurderinger i risikovurderingsskemaerne fremgår imidlertid ikke entydigt, da henvisningerne i konsekvensanalysen til referencenumre i risikovurderingen ikke svarer til numrene i disse risikovurderingsskemaer. Som anført i afsnit 3.2.2. ovenfor har Datatilsynet forstået, at det skyldes, at referencenumrene ved en fejl ikke er opdateret, efter at kommunen besluttede at anvende en anden skabelon til de risikovurderinger, der supplerer konsekvensanalysen.
Derudover kan Datatilsynet konstatere ved at sammenholde konsekvensanalysen og det bagvedliggende risikovurderingsskema med KOMBITs risikovurderingsmateriale, at konsekvensanalysen ikke entydigt forholder sig til alle de identificerede risici. I den forbindelse bemærkes det, at risikoen for at brugerne utilsigtet sender personoplysninger til forkerte modtagere i beskedfunktionen, hvor følsomme eller fortrolige oplysninger indgår i beskedens tekst, ikke er omtalt. I forhold til beskedfunktionen er det alene risikoen for, at brugere kan læse dokumenter, som de ved en fejl modtager i AULA som en vedhæftet læsbar fil (i stedet for et link til et rettighedsstyret dokument), der er omtalt i konsekvensanalysen.
Datatilsynet kan imidlertid ved en gennemgang af det øvrige materiale fra kommunen, herunder navnlig risikovurderingen i dokumentet med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet”, konstatere, at Københavns Kommune har identificeret denne risiko og arbejdet aktivt på at nedbringe den. Der henvises i den forbindelse til afsnit 4.1.3. og 4.1.4. ovenfor.
Det er på den baggrund Datatilsynets samlede vurdering, at konsekvensanalysens indhold vedrørende kommunens vurdering af risiciene ikke er tilstrækkelig. Datatilsynet har i den forbindelse særlig lagt vægt på, at der ikke ses at være en entydig sammenhæng mellem vurderingen af risici i konsekvensanalysen og den bagvedliggende vurdering i risikovurderingsskemaerne af sandsynligheden og konsekvensen i forhold til en række trusler. Det står derfor ikke Datatilsynet klart, hvad baggrunden er for vurderingerne af de pågældende risici før og efter de implementerede foranstaltninger.
Datatilsynet vurderer på den baggrund, at indholdet i konsekvensanalyserne og de bagvedliggende risikovurderingsskemaer ikke er tilstrækkeligt i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra c og d.
Det fremgår af den første version af Københavns Kommunes konsekvensanalyse af 3. marts 2020, at der er to forhold med høj risiko efter de oplistede foranstaltninger er gennemført.
Datatilsynet har forstået på konsekvensanalysen fra marts 2020 og det øvrige materiale, Københavns Kommune har fremsendt, at kommunen vurderede, at anvendelsen af UNI-login var årsag til nogle af de identificerede høje risici.
Datatilsynet har noteret sig, at Københavns Kommune i deres anden version af konsekvensanalysen af 20. april 2021 har vurderet, at de to forhold, som i marts 2020 var vurderet til at udgøre høje risici efter de implementerede foranstaltninger, var nedbragt til at udgøre en mellem risiko.
Datatilsynet lægger til grund, at Københavns Kommune i perioden fra marts 2020 til april 2021 har arbejdet med at nedbringe de høje risici, og at der således ikke har været tale om høje risici, som det ikke har været muligt at nedbringe ved indførelse af passende foranstaltninger med hensyn til tilgængelig teknologi og gennemførelsesomkostninger.
4.2.4. Krav om at rådføre sig hos databeskyttelsesrådgiveren
Det følger af databeskyttelsesforordningens artikel 35, stk. 2, at den dataansvarlige skal rådføre sig med databeskyttelsesrådgiveren, hvis en sådan er udpeget, når der foretages en konsekvensanalyse vedrørende databeskyttelse. Denne rådgivning skal dokumenteres i konsekvensanalysen.[9] Det følger endvidere af forordningens artikel 39, stk. 1, litra c, at databeskyttelsesrådgiveren som minimum bl.a. skal rådgive, når der anmodes herom, med hensyn til konsekvensanalysen vedrørende databeskyttelse og overvåge dens opfyldelse i henhold til artikel 35.
Det fremgår ikke af Københavns Kommunes konsekvensanalyse, om kommunen har rådført sig med sin databeskyttelsesrådgiver, og hvilke bemærkninger databeskyttelsesrådgiveren i så fald har haft.
Det fremgår af en hjælpetekst i konsekvensanalysernes afsnit med den samlede vurdering/konklusion, at mellem risici ikke må overstige 70 %, og at alle høje risici skal være elimineret. Det fremgår i den forbindelse, at databeskyttelsesrådgiveren skal kontaktes for yderligere vejledning, hvis disse betingelser ikke er opfyldt.
I den første version af konsekvensanalysen fra marts 2020 fremgår det, at der er to forhold med høj risiko. Det fremgår imidlertid ikke, om Københavns Kommune har fået (yderligere) vejledning fra sin databeskyttelsesrådgiver.
4.2.5. Fornyet konsekvensanalyse
Det følger af databeskyttelsesforordningens artikel 35, stk. 11, at den dataansvarlige foretager, hvis det er nødvendigt, en fornyet gennemgang for at vurdere, hvorvidt behandling er foretaget i overensstemmelse med konsekvensanalysen vedrørende databeskyttelse, i hvert fald når der er en ændring af den risiko, som behandlingsaktiviteterne udgør.
Det er Datatilsynets opfattelse, at der skal foretages en fornyet gennemgang af behandlingsaktiviteterne med henblik på at vurderede, om behandlingen er foretaget i overensstemmelse med den oprindelige konsekvensanalyse, når risikobilledet ændrer sig, eller den dataansvarlige af en anden grund vurderer, at det er nødvendigt. Det kan f.eks. være, når der sker en sådan ændring, at den risiko, som behandlingsaktiviteterne udgør, bliver højere.
Derudover skal det ligeledes vurderes, om der er behov for en fornyet gennemgang, når der sker ændringer, der betyder, at formålet med behandlingen ændres, og/eller at der fremover skal behandles andre personoplysninger, end dem der aktuelt behandles. Det kan f.eks. være relevant, hvis der fremover skal behandles følsomme personoplysninger i et system, hvor der hidtil alene har været behandlet almindelige personoplysninger.
Københavns Kommunens databeskyttelsesrådgiver har konkluderet i en intern tilsynsrapport, at kommunen har instrueret skoler og institutioner i at anvende AULA til formål, som det ikke oprindeligt var tiltænkt til, og at der ikke i den forbindelse er foretaget de nødvendige vurderinger.
Københavns Kommune har oplyst, at formålene med behandling af personoplysninger i AULA er at understøtte det pædagogiske arbejde/den pædagogiske dokumentation (notatpligt) og at sikre kommunikationen mellem skole/dagtilbud og hjem.
Det er anført i konsekvensanalysen, at formålet med behandlingen af personoplysninger i AULA alene er ”kommunikation mellem skole og hjem”.
Københavns Kommune har imidlertid oplyst, at kommunens konsekvensanalyse for AULA også omfatter de behandlingsaktiviteter, der relaterer sig til formålet om at understøtte det pædagogiske arbejde/den pædagogiske dokumentation (notatpligt). I den forbindelse har kommunen oplyst, at den pædagogiske dokumentation er relevant for kommunikation og forældresamarbejde.
Det fremgår af KOMBITs notat om AULAs modul Sikker fildeling, at det i forbindelse med kravspecificeringen blev besluttet, at løsningen skulle understøtte sikker opbevaring af både noter samt flere typer dokumenter, f.eks. indstillinger eller såkaldte rive-kradseskemaer i ét overblik. Ligeledes blev det besluttet, at dokumenter fra andre systemer skulle kunne importeres til Sikker fildeling i AULA for at understøtte ét samlet opbevaringssted for dokumenter om et barn. Der henvises til afsnit 3.3.3. ovenfor.
Derudover fremgår det af KOMBITs risikovurderingsskemaer vedrørende henholdsvis dataproces 3 og 4 (kommunikation og samarbejde i henholdsvis skole og dagtilbud), at kommunikation og samarbejde mellem brugerne i AULA bl.a. omfatter lagring og deling af dokumenter og filer med følsomme eller fortrolige personoplysninger. Ligeledes fremgår det af KOMBITs risikovurderingsskema vedrørende modulet Sikker fildeling, at formålet med behandlingen af personoplysninger er kommunikation og samarbejde mellem brugerne i AULA. Det fremgår i den forbindelse, at for at alle institutioner sikkert kan arbejde med og opbevare filer, der indeholder følsomme eller fortrolige personoplysninger, findes der i AULA et område, som hedder Sikker fildeling.
Datatilsynet har sammenlignet de af Københavns Kommune oplistede skabeloner, der anvendes i Sikker fildeling i AULA, med de dokumentkategorier, der er oplistet i KOMBITs notat om Sikker fildeling. Der henvises til afsnit 3.3.2. og 3.3.3. ovenfor. Datatilsynet har i den forbindelse konstateret, at Københavns Kommune ikke umiddelbart ses at anvende Sikker fildeling til andre typer dokumenter end de dokumentkategorier, KOMBIT har oplistet. I den forbindelse har Datatilsynet noteret det oplyste om, at Københavns Kommune ikke anvender AULA til støtteansøgninger, udredninger og underretninger, da disse arbejdsområder varetages i fagsystemer andre steder i kommunen. Datatilsynet har i øvrigt noteret, at kommunen ikke anvender Sikker fildeling til egentlig sagsbehandling, men at dette foregår i kommunens ESDH-system.
Datatilsynet kan i øvrigt konstatere, at Københavns Kommune har præciseret i forhold til databeskyttelsesrådgiverens interne rapport, at kommunen aldrig har vejledt i eller anvendt AULA til journalisering eller instrueret i, at underretninger og udredninger skulle placeres i AULA.
Datatilsynet har ikke taget stilling til, om Københavns Kommune anvender Sikker fildeling til andre formål end oprindeligt fastlagt, og som ikke er omfattet af kommunens konsekvensanalyse. Datatilsynet skal imidlertid bemærke, at en bemærkning fra den dataansvarliges databeskyttelsesrådgiver vedrørende den dataansvarliges brug af en it-løsning bør give den dataansvarlige anledning til at genoverveje den pågældende brug.
Datatilsynet anbefaler, at Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – præciserer formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. I den forbindelse er det i øvrigt relevant at præcisere i konsekvensanalysen hvilke dokumenttyper, Sikker fildeling anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
Datatilsynet har noteret, at Københavns Kommune arbejder på et nyt system til sikre filer, hvor formålet er at lave en forbedret løsning, der letter de pædagogiske medarbejderes arbejde samt sikrer automatisk journalisering af relevante dokumenter i kommunens ESDH-system.
Københavns Kommune har oplyst, at kommunen ikke har foretaget en ny konsekvensanalyse efter udrulningen af AULA i kommunens dagtilbud i maj 2021, og at dette er en fejl. Københavns Kommune vurderer dog, at konsekvensanalysen fra april 2021 er retvisende bortset fra oplysningerne om hjemmelsgrundlag og målgruppe, som burde have været opdateret med relevant faglovgivning og antal registrerede. Kommunen har i øvrigt oplyst, at det er deres vurdering, at der ikke er forskel i anvendelsen af AULA mellem dagtilbud og skoler.
Det fremgår imidlertid af kommunens risikovurdering med titlen ”Risikovurdering af AULA. Gennemgang af it-systemet”, at Børne- og Ungdomsforvaltningens påkobling af dagtilbud i juni 2020 er en væsentlig ændring, som vil, jf. kommunens forretningscirkulære for IT-anskaffelser fordre en ny vurdering af systemet samt opdatering af dokumentation.
Datatilsynet lægger til grund, at udrulningen af AULA til dagtilbuddene i Københavns Kommune bl.a. har medført, at flere brugere har fået adgang til AULA (både medarbejdere og forældre til børn i dagtilbuddene), og at der behandles oplysninger om flere registrerede, som dermed også indebærer, at der behandles flere personoplysninger i systemet. Datatilsynet lægger endvidere til grund, at kommunikationen via AULA også kan vedrøre andre emner. Der henvises i den forbindelse til, at Københavns Kommune har oplyst, at Sikker fildeling indeholder en skabelon til indstilling til visitation fra en dagtilbudsplads.
Udrulningen af AULA til dagtilbuddene ses imidlertid ikke at have medført, at der behandles andre typer personoplysninger – idet der fortsat behandles almindelige, følsomme og fortrolige personoplysninger –, eller at formålet med behandlingen af personoplysninger i AULA er ændret.
På den baggrund finder Datatilsynet, at udrulningen af AULA til dagtilbuddene ikke har medført en sådan ændring af den risiko, som behandlingsaktiviteterne udgør, der indebærer, at Københavns Kommune skulle have foretaget en fornyet gennemgang af konsekvensanalysen i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 11.
Datatilsynet skal imidlertid bemærke, at Københavns Kommune ved opdateringen af konsekvensanalysen i april 2021 burde have foretaget de nødvendige rettelser, så konsekvensanalysen var retvisende i forhold til udrulningen af AULA til kommunens dagtilbud i maj 2021.
Datatilsynet anbefaler, at kommunen i forbindelse med den planlagte opdatering af konsekvensanalysen sikrer, at oplysningerne i konsekvensanalysen er retvisende i forhold til, at AULA også anvendes i kommunens dagtilbud.
4.2.6. Samlet vurdering vedrørende konsekvensanalyse
Efter en gennemgang af Københavns Kommunes konsekvensanalyse og de bagvedliggende risikovurderingsskemaer finder Datatilsynet, at Københavns Kommune for så vidt angår tidspunktet for udarbejdelsen af deres konsekvensanalyse har handlet i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 1.
Det er imidlertid Datatilsynets vurdering, at Københavns Kommune ikke har gennemført en fyldestgørende konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35, stk. 1, idet den fremsendte konsekvensanalyse ikke opfylder mindstekravene hertil i forordningens artikel 35, stk. 7, litra a-d.
På den baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Københavns Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at Københavns Kommune har udarbejdet en konsekvensanalyse for behandlingen af personoplysninger i AULA, der indeholder elementer, der fremgår af artikel 35, stk. 7, litra a, c og d, og at konsekvensanalysen er udarbejdet umiddelbart efter konstateringen af kommunens dataansvar for behandlingen af personoplysninger i AULA samt den høje risiko, som behandlingen indebærer. Beskrivelsen af behandlingsaktiviteterne og indholdet vedrørende kommunens vurdering af risiciene og de oplistede foranstaltninger er imidlertid efter Datatilsynets vurdering ikke tilstrækkelig i forhold til at opfylde mindstekravene i artikel 35, stk. 7, litra a, c og d.
Datatilsynet har endvidere lagt vægt på, at konsekvensanalysen ikke indeholder en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, som er et af mindstekravene til en konsekvensanalyse, jf. artikel 35, stk. 7, litra b.
Endelig finder Datatilsynet, at udrulningen af AULA til dagtilbuddene ikke har medført en sådan ændring af den risiko, som behandlingsaktiviteterne udgør, der indebærer, at Københavns Kommune skulle have foretaget en fornyet gennemgang af konsekvensanalysen i overensstemmelse med databeskyttelsesforordningens artikel 35, stk. 11.
Datatilsynet anbefaler, at kommunen i forbindelse med den planlagte opdatering af konsekvensanalysen sikrer, at oplysningerne i konsekvensanalysen er retvisende i forhold til, at AULA også anvendes i kommunens dagtilbud.
Derudover anbefaler Datatilsynet, at Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – præciserer formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. I den forbindelse er det i øvrigt relevant at præcisere i konsekvensanalysen, hvilke dokumenttyper Sikker fildeling anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
4.3. Sammenfatning
På ovenstående baggrund finder Datatilsynet anledning til at anbefale Københavns Kommune, at oplysningerne i kommunens reviderede risikovurderingskoncept struktureres på en måde, så det er muligt at sammenligne vurderingerne af risici før og efter, at foranstaltningerne er implementeret, og så sammenhængen mellem foranstaltninger og de enkelte risici fremgår. På den måde kan der dannes et overblik, der kan bidrage til at sikre, at alle de identificerede risici er vurderet og håndteret ved implementering af passende sikkerhedsforanstaltninger.
Datatilsynet finder endvidere grundlag for at udtale kritik af, at Københavns Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med forordningens artikel 35, stk. 1.
Derudover anbefaler Datatilsynet, at kommunen i forbindelse med den planlagte opdatering af konsekvensanalysen sikrer, at oplysningerne i konsekvensanalysen er retvisende i forhold til, at AULA også anvendes i kommunens dagtilbud.
Datatilsynet anbefaler endvidere, at Københavns Kommune – eventuelt i dialog med de øvrige kommuner, KOMBIT og KL – præciserer formålet med behandlingen af personoplysninger i AULA i kommunens konsekvensanalyse. I den forbindelse er det i øvrigt relevant at præcisere i konsekvensanalysen, hvilke dokumenttyper Sikker fildeling anvendes til, og hvilke typer personoplysninger disse dokumenttyper typisk indeholder.
4.4. Datatilsynets generelle bemærkninger
I systemlandskaber, hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvist de samme behandlinger af personoplysninger, kan der være en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.
Datatilsynet bemærker, at det kan være relevant at foretage en fælles konsekvensanalyse, hvis flere dataansvarlige sammen planlægger at indføre et fælles it-system eller behandlingsplatform f.eks. inden for den kommunale sektor. For at flere dataansvarlige kan gå sammen om at udarbejde en fælles konsekvensanalyse, er det en forudsætning, at der er tale om samme type system, den samme behandlingsaktivitet af de samme personoplysninger, samt at behandlingsaktiviteterne indebærer lignende høje risici.
Det er ikke afgørende, at der er fuld identitet mellem systemerne og behandlingsaktiviteterne, men at systemet, data og navnlig at behandlingsaktiviteterne ikke afviger væsentligt fra hinanden. I modsat fald må der nødvendigvis udarbejdes et supplement til den fælles konsekvensanalyse.
Det er således Datatilsynets opfattelse, at det eksempelvis vil være tilstrækkeligt for flere kommuner at udarbejde én konsekvensanalyse vedrørende databeskyttelse for behandlingen af personoplysninger i det samme system, som leveres af samme leverandør, hvis der i systemet foretages de samme behandlingsaktiviteter, der behandles de samme typer personoplysninger, og behandlingsaktiviteterne indebærer samme høje risici.
Det er de dataansvarlige, der konkret vurderer, hvorvidt der kan foretages en fælles konsekvensanalyse for behandlingsaktiviteterne i systemerne. De dataansvarlige i en fælles konsekvensanalyse har hver især ansvaret for foretagelsen af konsekvensanalysen.[10]
Det er Datatilsynets opfattelse, at der i forhold til kommunernes behandling af personoplysninger i AULA er tale om, at kommunerne anvender samme type system til de samme behandlingsaktiviteter af de samme typer personoplysninger, samt at kommunernes behandlingsaktiviteter indebærer lignende høje risici. Derudover leveres systemet af den samme leverandør. Kommunerne har således mulighed for at udarbejde en fælles konsekvensanalyse vedrørende databeskyttelse for deres behandling af personoplysninger i AULA.
I sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, kan der endvidere med fordel udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.
Et adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse
med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. Et adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at
overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodekset.
Dette letter overholdelsen af reglerne, men fratager ikke den enkelte dataansvarlige for de pligter og opgaver, der påhviler disse som dataansvarlige. Dette er særligt væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger f.eks. ved anvendelse af et system til andre formål.
På denne baggrund skal Datatilsynet opfordre til, at det overvejes på tværs af kommunerne og eventuelt i samarbejde med KL og KOMBIT at udarbejde et adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 vedrørende kommunernes behandling af personoplysninger i AULA. Dette kan i øvrigt også være relevant at overveje i forhold til andre behandlingsaktiviteter i kommunerne, hvor kommunerne anvender samme system til behandling af de samme typer personoplysninger til de samme formål.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] KL har beskrevet Brugerportalsinitiativet på deres hjemmeside: https://www.kl.dk/boern-og-unge/digitalisering-paa-boerne-og-ungeomraadet/brugerportalsinitiativet
[4] KOMBIT informerer om AULA på hjemmesiden https://aulainfo.dk/om-aula/
[5] Det fremgår af materiale om Brugerportalsinitiativet, der er tilgængeligt på KL’s hjemmeside: https://www.kl.dk/media/jdeblg2i/llustration-af-aftaler-om-databehandling-i-og-omkring-bpi-juni-2018.pdf
[6] Retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679, WP248 rev. 01, vedtaget den 4. april 2017, som senest revideret og vedtaget den 4. oktober 2017.
[7] Af præambelbetragtning nr. 90 fremgår det følgende: ”I sådanne tilfælde bør den dataansvarlige inden behandlingen foretage en konsekvensanalyse vedrørende databeskyttelse med henblik på at vurdere den høje risikos specifikke sandsynlighed og alvor under hensyntagen til behandlingens karakter, omfang, sammenhæng og formål samt risikokilderne. Konsekvensanalysen bør navnlig omfatte de foranstaltninger, garantier og mekanismer, der er planlagt til begrænsning af denne risiko, til sikring af beskyttelsen af personoplysninger og påvisning af overholdelse af denne forordning.”
[8] Af præambelbetragtning nr. 38 fremgår det følgende bl.a.:” Børn bør nyde særlig beskyttelse af deres personoplysninger,
eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår
behandling af personoplysninger. […]”
[9] Der henvises til afsnit III.D.b i Artikel 29-gruppes retningslinjer for konsekvensanalyse vedrørende databeskyttelse (DPIA) og bestemmelse af, om behandlingen ”sandsynligvis indebærer en høj risiko” i henhold til forordning (EU) 2016/679 (WP 248)
[10] Der henvises til Datatilsynets vejledning om konsekvensanalyse fra marts 2018.