Journalnummer: 2023-813-0003.
NORDJYLLANDS POLITI.
Resumé
I 2021 indledte Datatilsynet skriftlige tilsyn med henholdsvis Nordjyllands Politi, Fyns Politi og Bornholms Politis brugerstyring og logkontrol af politiets sagsstyringssystem POLSAS, idet der behandles store mængder af personoplysninger i systemet, herunder oplysninger om strafbare forhold.
Valget af de tre politikredse skyldes, at de varierer i størrelsen, og at de er udtryk for en geografisk spredning.
Politikredsenes oplysninger om brugerstyring i POLSAS – dvs. administration af adgangsrettigheder, herunder hvordan adgangsrettigheder tildeles og afmeldes – gav ikke Datatilsynet anledning til bemærkninger.
Kritik af utilstrækkelig logkontrol
Datatilsynet fandt imidlertid anledning til at udtale kritik af, at politikredsenes logkontrol ikke var i overensstemmelse med reglerne om behandlingssikkerhed, idet de ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. ved stikprøvekontrol) for at sikre, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for at behandle. Politikredsene kontrollerede kun loggen ved konkret mistanke om misbrug.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne grundlag for, hvordan og hvor ofte denne kontrol skal udføres. Det er dog tilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer.
Dataansvarlige kan endvidere overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver.
Logkontrol har umiddelbart en korrigerende funktion, men et andet væsentligt formål med implementering af logkontrol er, at det kan have en forebyggende effekt. Orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan derfor være et effektivt middel til at reducere risikoen for misbrug af ellers legitime adgangsrettigheder.
Forebyggelse af misbrug af adgangsrettigheder bør efter Datatilsynets opfattelse ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring samt logning og løbende kontrol af brugernes opslag i systemer, hvori der behandles personoplysninger. Derudover skal den dataansvarlige sikre en effektiv håndhævelse af reglerne.
Datatilsynet lagde i vurderingen af sagerne vægt på, at der i POLSAS både behandles almindelige, følsomme og andre beskyttelsesværdige personoplysninger, og at reelt alle medarbejdere i politikredsene har adgang til POLSAS – og som udgangspunkt også adgang til alle sager og oplysninger i systemet.
Datatilsynet bemærkede i øvrigt i anledning af tilsynet, at:
- arbejdsgivere skal overholde de databeskyttelsesretlige regler om oplysningspligt ved iværksættelse af kontrolforanstaltninger som f.eks. logkontrol. Det indebærer, at medarbejderne klart og utvetydigt skal informeres om, at registreringen og kontrollen foretages.
- når der er tale om fælles dataansvar mellem to eller flere parter, er det vigtigt at udarbejde en aftale, der tydeligt fastlægger deres respektive ansvar for overholdelse af de forskellige pligter, der pålægges en dataansvarlig efter databeskyttelsesforordningen. To af politikredsene gav udtryk for, at den manglende gennemførelse af stikprøvekontrol skyldtes en misforståelse af, at en sådan kontrol blev udført af Rigspolitiet.
Datatilsynet har orienteret Rigspolitiet om tilsynene og har i den forbindelse bemærket, at tilsynet forudsætter, at det sikres, at der også implementeres behørig logkontrol hos de øvrige politikredse, hvis ikke det allerede er sket.
Afgørelse
1. Skriftligt tilsyn med Nordjyllands Politi
Datatilsynet er den centrale, uafhængige myndighed, der fører tilsyn med enhver behandling af personoplysninger, der er omfattet af retshåndhævelsesloven[1].
Nordjyllands Politi var blandt de udvalgte politikredse, som Datatilsynet i sommeren 2021 førte tilsyn med efter retshåndhævelsesloven.
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Nordjyllands Politis måde at administrere adgangsrettigheder på i politiets sagsstyringssystem POLSAS, herunder logkontrol.
Ved brev af 11. juni 2021 varslede Datatilsynet tilsynet med Nordjyllands Politi. Datatilsynet anmodede i den forbindelse om at få oplyst:
- hvilke oplysninger, der behandles i POLSAS
- hvordan Nordjyllands Politi styrer adgangsrettigheder for brugere med adgang til Nordjyllands Politis POLSAS, herunder hvordan adgangsrettigheder tildeles og afmeldes
- generelle politikker og procedurer for adgangskontrol, herunder politikker for audit og stikprøver for uautoriserede adgangsforsøg.
Nordjyllands Politi fremkom den 11. august 2021 med en udtalelse til sagen.
På baggrund af udtalelsen anmodede Datatilsynet ved brev af 26. oktober 2021 Nordjyllands Politi om at fremsende dokumentation for udførte kontroller af autorisationer i POLSAS for det seneste år. Nordjyllands Politi fremsendte på den baggrund den 24. november 2021 en supplerende udtalelse i sagen.
På baggrund af udtalelsen anmodede tilsynet ved brev af 29. august 2022 Nordjyllands Politi om bl.a. at besvare nogle uddybende spørgsmål i forhold til den halvårlige kontrol af autorisationer i POLSAS. Nordjyllands Politi fremsendte den 11. oktober 2022 en supplerende udtalelse i sagen.
Datatilsynet anmodede den 12. januar og 21. februar 2024 Nordjyllands Politi om at oplyse, om politikredsen efter afgivelse af udtalelsen af 11. august 2021 havde implementeret yderligere logkontrol med medarbejdernes anvendelse af personoplysninger, herunder i form af stikprøvekontrol. Nordjyllands Politi fremsendte herefter supplerende udtalelser til Datatilsynet den 29. januar og 28. februar 2024.
2. Afgørelse
Nordjyllands Politis oplysninger om administration af adgangsrettigheder for brugere med adgang til Nordjyllands Politis POLSAS, herunder hvordan adgangsrettigheder tildeles og afmeldes, giver ikke Datatilsynet anledning til bemærkninger.
Efter tilsynet finder Datatilsynet imidlertid anledning til at konkludere, at Nordjyllands Politi på tidspunktet for varslingen af tilsynet ikke havde implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug.
Datatilsynet finder herefter grundlag for at udtale kritik af, at Nordjyllands Politis behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 27.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem om logkontrol i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse om kritik af den utilstrækkelige logkontrol.
3. Sagsfremstilling
I udtalelsen af 11. august 2021 har Nordjyllands Politi bl.a. oplyst, hvilke oplysninger der behandles i POLSAS. Det fremgår bl.a. heraf, at POLSAS anvendes af alle landets politikredse, og at det som udgangspunkt anvendes ved journalisering, registrering og skriftlig sagsbehandling af alle straffesager, administrative sager, undersøgelsessager og hændelser. Reelt vil alle medarbejdere i en politikreds være tildelt POLSAS-adgang. Som udgangspunkt har alle brugere med adgang til POLSAS adgang til alle sager og alle oplysninger heri, herunder personoplysninger. Det er dog muligt at begrænse dele af adgangen til rapporter og dokumenter. Alle relevante oplysninger i relation til politiets brede opgavevaretagelse skal således som hovedregel registreres i POLSAS, og dette vil derfor bl.a. omfatte personoplysninger i form af personnumre, oplysninger om familiære relationer, strafbare forhold og helbredsmæssige oplysninger.
I forhold til logkontrol mv. har Nordjyllands Politi i udtalelsen af 11. august 2021 henvist til oplysninger fra Rigspolitiets Koncern IT, hvoraf der bl.a. fremgår følgende:
”For så vidt angår audit, stikprøver og opfølgning på uautoriserede adgangsforsøg kan det oplyses, at politikredsene og Rigspolitiets områder skal opretholde en lokal informationssikkerhedsorganisation, sikre implementering af gældende sikkerhedsbestemmelser samt varetage den lokale opfølgning på informationssikkerheden.
Rigspolitiet Koncern IT, Sikkerhed foretager det overordnede tilsyn med informationssikkerhedssikkerheden med udgangspunkt i vedlagte tilsynskoncept og foretager i den forbindelse stikprøvekontroller med anvendelsen af politiets centrale systemer og gennemfører fysiske tilsyn i politikredsene i samarbejde med Rigspolitiets databeskyttelsesenhed.
Rigspolitiet foretager ikke fra centralt hold stikprøver med anvendelsen af POLSAS, men de enkelte politikredse har mulighed for at foretage lokal opfølgning på anvendelsen, idet den lokale POLSAS log er tilgængelig for kredsene i en kortere periode.
[…]
Hvis en sagsbehandler i en politikreds konstaterer eller blot har en mistanke om, at der er andre, der har været inde på pågældendes sag, har man mulighed for at anmode om et log-udskrift via sin nærmeste leder. Logudskrifter i POLSAS tilvejebringes af Rigspolitiets Koncern IT, Sikkerhed.”
Nordjyllands Politi har i den forbindelse oplyst, at politikredsen i praksis typisk 5-6 gange årligt anmoder Rigspolitiet om log over medarbejdere, der har åbnet dokumenter i en konkret sag i POLSAS. Dette drejer sig normalt om efterforskningsager, hvor efterforskningsafdelingen bliver usikker på, om rapporter er blevet læst af medarbejdere, som har adgang til POLSAS, men som ikke har haft tjenstlig anledning til at tilgå den konkrete sag. Rigspolitiet sender logoplysningerne til efterforskningsafdelingen, der herefter gennemgår og vurderer oplysningerne.
Nordjyllands Politi har endvidere oplyst, at det fremgår klart af Rigspolitiets Sikkerhedshåndbog og vejledning om registeropslag og anvendelse af personoplysninger, at ansatte i politikredsene kun må søge efter og anvende oplysninger, som er relevante for deres konkrete sagsbehandling eller funktion.
I forhold til de opfølgende spørgsmål om, hvorvidt Nordjyllands Politi efter afgivelse af udtalelsen af 11. august 2021 har implementeret yderligere logkontrol med medarbejdernes anvendelse af personoplysninger, herunder i form af stikprøvekontrol, har Nordjyllands Politi i udtalelserne af 29. januar og 28. februar 2024 oplyst, at politikredsen efterfølgende – som led sit delte dataansvar med Rigspolitiet for behandling af personoplysninger i systemer – har indført stikprøvekontrol af logoplysninger fra POLSAS. Logkontrollen foretages fire gange årligt. Logkontrollen er beskrevet i et medsendt actioncard, som trådte i kraft den 1. juli 2022. Medarbejderne blev i juni 2022 informeret om indførelse af stikprøvekontrollen via politiets intranet, hvor der også var henvist til det ovennævnte actioncard. Beslutningen blev endvidere formidlet ud i ledergruppen, idet den daglige ledelse således har til opgave at sikre, at medarbejderne er bekendt med lokale retningslinjer. Nyansatte informeres herom på introdage. Efter indførelse af stikprøvekontrollen har Nordjyllands Politi endvidere udfærdiget yderligere lokalt awareness materiale, hvor der er sat fokus på opslag i POLSAS og den lokale stikprøvekontrol hermed.
Nordjyllands Politi har endvidere oplyst, at der også stadig som tidligere beskrevet foretages kontrol af opslag, når der måtte være konkret anledning hertil, f.eks. ved mistanke om opslag uden tilstrækkelig tjenstlig anledning.
Nordjyllands Politi har endelig oplyst, at politikredsen forud for indførelse af egen stikprøvekontrol var af den opfattelse, at Rigspolitiet allerede forestod stikprøvekontrol af de centrale systemer, herunder POLSAS. Medarbejderne var således også allerede forinden bibragt viden om, at deres aktiviteter blev logget og kunne undergives stikprøvekontrol.
Det er desuden oplyst, at Nordjyllands Politi siden 1. august 2021 tillige har haft en årlig stikprøvekontrol med medarbejdernes generelle awareness og kendskab til centrale og lokalt fastsatte informationssikkerhedspolitikker – og at det bl.a. omfatter kendskab til regler for tjenstlige opslag, herunder navnlig i POLSAS.
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det oplyste fra Nordjyllands Politi til grund:
- at der i POLSAS både behandles almindelige og følsomme personoplysninger og andre beskyttelsesværdige personoplysninger
- at reelt alle medarbejderne i Nordjyllands Politi er tildelt POLSAS-adgang, og at alle brugerne som udgangspunkt har adgang til alle sager og alle oplysninger heri, herunder personoplysninger
- at Nordjyllands Politi på tidspunktet for varslingen af tilsynet ikke havde implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug.
Det følger af retshåndhævelseslovens § 27, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne baggrund for, hvordan og hvor ofte denne kontrol skal foretages.
Det er dog Datatilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer. Det er således ikke tilstrækkeligt alene at undersøge loggen ved konkret mistanke om misbrug eller ved enkeltstående potentielle misbrugsscenarier, f.eks. som led i politiets behandling af en sag, der er omtalt i medierne eller lignende. Datatilsynet bemærker i den forbindelse, at den dataansvarlige kan overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og at dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver. Logkontrollen vil i sådanne tilfælde primært have en korrigerende funktion.
Et andet og væsentligt formål med implementering af logkontrol er, at denne foranstaltning kan have en forebyggende funktion. Behørig orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan således være et effektivt middel til at mindske sandsynligheden for, at der sker misbrug af ellers legitime adgangsrettigheder.
Forebyggelse af misbrug af adgangsrettigheder bør ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring, logning og løbende kontrol af brugernes opslag i systemer, der behandler personoplysninger – samt en effektiv håndhævelse fra den dataansvarliges side.
Borgerne skal således kunne have tillid til, at politiet kun behandler oplysninger om borgerne til lovlige formål – og det stiller store krav til såvel politiet som den enkelte medarbejder.
Datatilsynet finder herefter, at der er grundlag for at udtale kritik af, at Nordjyllands Politi – ved ikke på tidspunktet for varslingen af tilsynet at have implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. retshåndhævelseslovens § 27.
Datatilsynet har dog noteret sig, at Nordjyllands Politi efter Datatilsynets iværksættelse af tilsynet i 2022 har indført en passende stikprøvekontrol med logoplysningerne samt awareness herom. Datatilsynet har endvidere noteret sig, at der er awareness bl.a. om, hvad der er berettiget/uberettiget opslag, ligesom der er systematisk rettighedsstyring og logning af anvendelsen af personoplysninger.
Datatilsynet skal i anledning af tilsynet i øvrigt generelt bemærke, at arbejdsgivere skal iagttage oplysningspligten i databeskyttelsesforordningens[2] artikel 13 eller 14 ved iværksættelse af kontrolforanstaltninger. Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om, at registreringen/logningen finder sted, og at registrering vil blive gennemset som led i en løbende kontrol, herunder stikprøvekontrol, af om der sker brug i strid med arbejdspladsens retningslinjer[3] samt ved mistanke herom.
Datatilsynet skal endvidere bemærke, at det er vigtigt, når der er tale om fælles dataansvar mellem to eller flere parter, at det i en aftale eller lignende klart er afgrænset, hvem der har ansvaret for hvad. Fælles dataansvar kan f.eks. komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles oplysninger (hjælpemidlerne)[4].
[1] Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger med senere ændringer.
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[3] Se nærmere herom i Datatilsynets vejledende tekst om ”Kontrol af medarbejdere” og ”Vejledning om databeskyttelse i forbindelse med ansættelsesforhold” som findes på Datatilsynets hjemmeside.
[4] Se Datatilsynets nærmere herom i Datatilsynets ”Vejledning om dataansvarlige og databehandlere” som findes på Datatilsynets hjemmeside.