Lyngby-Taarbæk Kommune er blevet indstillet til en bøde på 350.000 - 400.000 kr. for i flere tilfælde ikke at have overholdt sin forpligtelse som dataansvarlig til at gennemføre passende sikkerhedsforanstaltninger.
Datatilsynet blev opmærksom på sagerne, da kommunen anmeldte brud på persondatasikkerheden om uautoriseret adgang til personoplysninger.
To anmeldelser vedrørte manglende retningslinjer og procedurer for nedlæggelse af brugeradgange samt fravær af regelmæssig kontrol med disse. Problemstillingen angik it-systemet KMD Nexus, der bl.a. blev anvendt på omsorgsområdet, og som derfor indeholdt fortrolige og følsomme personoplysninger om et stort antal borgere i kommunen.
Kommunens utilstrækkelige sikkerhed førte til, at mindst 1.000 tidligere medarbejdere fortsat havde adgang til systemet efter deres ansættelse var ophørt. Ifølge kommunen var der adgang til at tilgå personoplysninger om ca. 30.000 borgere, og i mindst ét tilfælde blev denne adgang misbrugt af en tidligere medarbejder, der tilgik oplysninger om 1.022 borgere.
En tredje anmeldelse drejede sig om en uvedkommende, der havde misbrugt loginoplysninger fra en af kommunens medarbejdere. Dette gav adgang til medarbejderens Office-tjenester, herunder Outlook, OneNote og SharePoint, som indeholdt oplysninger om ca. 5.000 borgere, ansatte og samarbejdspartnere.
Både KMD Nexus og Microsoft-tjenesterne kunne tilgås direkte fra internettet. På den baggrund undersøgte Datatilsynet, om Lyngby-Taarbæk Kommune havde implementeret flerfaktorautentifikation eller anden effektiv sikring af disse fjernadgangsforbindelser. Det viste sig ikke at være tilfældet, idet medarbejderne kunne logge ind alene ved hjælp af brugernavn og adgangskode.
De manglende sikkerhedsforanstaltninger havde været aktuelle siden Microsoft-tjenesterne og KMD Nexus blev taget i brug i henholdsvis 2016 og 2018.
Krav om passende sikkerhed
Dataansvarlige har pligt til at sikre, at de personoplysninger, som behandles, ikke kommer til uvedkommendes kendskab.
”Det kan bl.a. sikres ved, at man løbende sørger for, at medarbejderne kun har adgang til de systemer og oplysninger, som de har brug for i deres daglige arbejde, og at denne adgang ophører, når medarbejderne ikke længere er ansat. Derfor har krav om brugerstyring også i mange år været en del af de helt grundlæggende sikkerhedsforanstaltninger,” forklarer Vibeke Dyssemark, chefkonsulent i Datatilsynet, og fortsætter:
”Der kan imidlertid ske fejl i disse processer, og derfor skal der også føres passende kontrol med, at brugeradgange rent faktisk er blevet nedlagt korrekt og rettidigt, når medarbejderne ændrer arbejdsfunktion eller stopper.”
Vibeke Dyssemark understreger også, at adgang til it-systemer med personoplysninger direkte fra internettet indebærer en høj risiko:
”Når man giver medarbejderne adgang til it-systemer med personoplysninger direkte fra internettet, øges risikoen for, at uvedkommende – f.eks. hackere – får adgang til oplysningerne og kan misbruge dem. Hvis der gives adgang til beskyttelsesværdige oplysninger, har det længe været et krav, at der skal være implementeret flerfaktorautentifikation for at sikre et passende beskyttelsesniveau.”
Indstilling til bøde
Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.
Datatilsynet har ved vurderingen af, at der bør idømmes en bøde og ved sin indstilling til bødestørrelse, særligt lagt vægt på, at Lyngby-Taarbæk Kommunen i flere tilfælde og over en længere periode har undladt at implementere grundlæggende sikkerhedsforanstaltninger. Særligt i forhold til brugerstyring er der endvidere lagt vægt på, at kommunen ikke havde implementeret passende retningslinjer og procedurer til trods for, at kommunen ved flere lejligheder var blevet gjort opmærksom på, at der var mangler på området.
Ved indstillingen af bødestørrelsen har tilsynet også taget hensyn til kravene i databeskyttelsesforordningen om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Der er endvidere lagt vægt på kommunens størrelse henset til indbyggertal og den samlede driftsbevilling.
Vil du vide mere
Læs Datatilsynets vejledning om rettighedsstyring her.
Læs Datatilsynets katalog over sikkerhedsforanstaltninger - herunder om flerfaktorautentifikation (MFA).
Læs de tekniske minimumskrav for statslige myndigheder 2024, sikkerdigital.dk.
Læs om Kommunernes Landsforenings (KL) anbefalinger fra 2023 om tekniske minimumsstandarder i kommuner.
Læs også Center for Cybersikkerheds vejledning om cyberforsvar, der virker.
Center for Cybersikkerhed har også udgivet en vejledning om passwordsikkerhed, som du kan læse her.