Journalnummer: 2023-423-0016.
Resumé
Datatilsynet gennemførte et tilsynsbesøg hos Brøndby Kommune i efteråret 2023. Tilsynet havde fokus på to centrale temaer: Den periodiske kontrol med adgangsrettigheder og brugen af flerfaktorautentifikation/Multi-Factor Authentication (MFA) ved adgang direkte fra internettet til kommunens it-systemer. Temaerne blev valgt på baggrund af bl.a. Datatilsynets anbefalinger til Brøndby Kommune i forbindelse med de skriftlige tilsyn i 2021 og 2022, hvor der blev set nærmere på kommunens modenhed på databeskyttelsesområdet (modenhedstilsyn).
Datatilsynet har konkluderet i sagen, at Brøndby Kommune ikke havde foretaget løbende dokumenteret kontrol af almindelige brugeres adgange til KMD Nexus (dvs. brugere der ikke har udvidede rettigheder/administratorrettigheder), da kommunens seneste kontroller forud for tilsynsbesøget var foretaget i januar 2020 og marts 2021.
Derudover havde Brøndby Kommune ikke implementeret MFA ved adgang til KMD Nexus, SAPA eller Momentum direkte fra internettet frem til den 15. november 2023. MFA blev først implementeret efter, at Datatilsynet havde varslet tilsynet over for Brøndby Kommune, og fem år efter at kommunen i en risikovurdering af KMD Nexus havde vurderet, at manglende MFA ved login direkte fra internettet udgjorde en sårbarhed.
På den baggrund har Datatilsynet udtalt alvorlig kritik af, at Brøndby Kommune ikke havde truffet passende sikkerhedsforanstaltninger.
Afgørelse
1. Fysisk tilsyn med Brøndby Kommune
Datatilsynet er den centrale, uafhængige myndighed, der fører tilsyn med enhver behandling af personoplysninger, der er omfattet af databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Som led i denne tilsynsvirksomhed valgte Datatilsynet i efteråret 2023 at føre fysisk tilsyn med Brøndby Kommune efter databeskyttelsesforordningen og databeskyttelsesloven.
Ved brev af 16. oktober 2023 varslede Datatilsynet tilsynet over for Brøndby Kommune. Datatilsynet oplyste i den forbindelse om temaerne for tilsynet og anmodede kommunen om at udfylde et vedlagt skema. I skemaet anmodede Datatilsynet om materiale forud for tilsynet. Kommunen skulle endvidere udfylde skemaet med en række oplysninger om det fremsendte materiale samt om alle kommunens it-systemer med ekstern adgang eller it-systemer uden ekstern adgang, hvis der ikke var it-systemer med ekstern adgang i kommunen. De valgte temaer tog bl.a. udgangspunkt i de konkrete anbefalinger, som kommunen modtog fra Datatilsynet i 2021 og 2022 ved det skriftlige tilsyn med kommunens modenhed på databeskyttelsesområdet (modenhedstilsyn).
Temaerne for tilsynet var følgende:
- Periodisk kontrol med adgangsrettigheder og
- Flerfaktorautentifikation/Multi-Factor Authentication (MFA) ved adgang direkte fra internettet
Brøndby Kommune fremsendte den 3., 6., 8. og 9. november 2023 det af Datatilsynet anmodede materiale samt det udfyldte skema.
Datatilsynet fremsendte herefter ved e-mail af 14. november 2023 en foreløbig liste over spørgsmål, som tilsynet forventede at stille under tilsynsbesøget.
Tilsynet blev gennemført som et fysisk tilsynsbesøg hos Brøndby Kommune den 16. november 2023. På tilsynsbesøget fokuserede Datatilsynet på de tre it-systemer, kommunen havde angivet i det udfyldte skema – KMD Nexus, SAPA og Momentum.
For så vidt angår periodisk kontrol af adgangsrettigheder har Datatilsynet valgt at afgrænse fokus til kontrol af adgangsrettigheder i KMD Nexus. Datatilsynet bemærker i den forbindelse, at tilsynet således ikke har foretaget en vurdering i forhold til kommunens kontrol af adgangsrettigheder i Momentum og SAPA.
I forlængelse af tilsynsbesøget anmodede Datatilsynet den 17. november 2023 Brøndby Kommune om skriftligt at besvare en række yderligere spørgsmål, som kommunen besvarede den 1. december 2023.
Den 27. november 2023 fremsendte Datatilsynet et udkast til mødereferat til Brøndby Kommune, som Brøndby Kommune fremsendte bemærkninger til den 7. december 2023. Efter Datatilsynets anmodning præciserede Brøndby Kommune herefter sine bemærkninger til referatet ved e-mail af 16. januar 2024. Datatilsynet fremsendte det endelige referat til Brøndby Kommune den 18. januar 2024.
Datatilsynet anmodede ved brev af 2. juli 2024 Brøndby Kommune om at besvare en række spørgsmål og fremsende en kopi af kommunens eventuelle procedurebeskrivelse om tildeling/nedlæggelse af brugeradgange i KMD Nexus i forbindelse med ansættelse/fratrædelse samt dokumentation for kommunens eventuelle kontrol af systemadministratorrettigheder. Datatilsynet modtog Brøndby Kommunes besvarelse den 7. august 2024.
2. Afgørelse
På baggrund af tilsynsbesøget hos Brøndby Kommune, det modtagne materiale og kommunens besvarelser af tilsynets spørgsmål efter tilsynsbesøget finder Datatilsynet anledning til sammenfattende at konkludere:
- at Brøndby Kommune forud for den 1. oktober 2023 senest havde ført kontrol med almindelige brugeres adgangsrettigheder i KMD Nexus i januar 2020 og marts 2021. Kontrollen blev udført som en stikprøvekontrol af 10 af brugerne. Derudover havde Brøndby Kommune ikke på tidspunktet for tilsynsbesøget en formaliseret proces for kontrol af rettidig nedlæggelse af eksterne brugere, herunder vikarer.
- at Brøndby Kommune frem til den 15. november 2023 ikke havde implementeret MFA ved adgang til KMD Nexus, SAPA eller Momentum direkte fra internettet.
Datatilsynet finder på den baggrund, at Brøndby Kommune ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Brøndby Kommunes behandling af personoplysninger.
Datatilsynet udtaler derfor alvorlig kritik af, at Brøndby Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, som er relevante for afgørelsen, og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
3.1. Vedrørende periodisk kontrol med adgangsrettigheder
Brøndby Kommune oplyste under tilsynsbesøget, at der pr. den 16. november 2023 var 1.650 faste medarbejdere (brugere) i KMD Nexus, og inklusive vikarer var antallet 1.721 brugere. Kommunen oplyste, at KMD Nexus er et sundhedssystem med snitflader til andre it-systemer, f.eks. Det Fælles Medicinkort (FMK).
Efter en gennemgang af kommunens svar i modenhedstilsynet i 2021 og 2022 har Datatilsynet konstateret, at kommunen i 2021 svarede ”Nej – men det planlægges” til, om kommunen regelmæssigt foretog dokumenteret kontrol af medarbejdernes adgangsrettigheder for at sikre, at tildelte brugeradgange og rettigheder var korrekte. I den forbindelse oplyste kommunen, at der var fastsat overordnede retningslinjer og præciserende vejledninger om periodisk kontrol med medarbejdernes rettigheder, men at opfølgningen på daværende tidspunkt skete ad hoc f.eks. i forbindelse med etablering af nye systemer eller medarbejderes skift af opgaver. I modenhedstilsynet i 2022 svarede kommunen ”Delvist – Mindre end 1/3 gennemført” til samme spørgsmål. Kommunen bemærkede i besvarelserne begge år, at der var savnet en systemunderstøttet mulighed for at skabe et systematisk overblik for de medarbejdere, der skulle udføre opgaven. Det fremgik derudover, at det manglende systematiske overblik til understøttelse af kontrol og den manglende periodiske kontrol var noteret som et punkt på informationssikkerhedskoordinatorenes handlingsplan.
I Datatilsynets rapport til Brøndby Kommune i forbindelse med modenhedstilsynene i både 2021 og 2022 fremhævede Datatilsynet besvarelserne af disse spørgsmål som nogle, kommunen bør have særligt fokus på.
Brøndby Kommune fremsendte forud for tilsynsbesøget kommunens skriftlige vejledning om rettighedsstyring, som senest var opdateret i januar 2023. Det fremgår af vejledningen, at der skal foretages dokumenterede gennemgange af brugeres adgangsrettigheder minimum hver sjette måned i systemer, hvor der behandles følsomme personoplysninger. Det fremgår endvidere, at dette skal være beskrevet i lokale instrukser/forretningsgange. I øvrige systemer skal der ifølge vejledningen foretages gennemgang af brugere mindst én gang årligt. Det fremgår endvidere, at brugere med udvidede rettigheder skal verificeres hvert halve år. Forvaltningens informationssikkerhedskoordinator skal ifølge vejledningen årligt rapportere på, at der er gennemført den fastsatte opfølgning og kontrol.
Det fremgår endvidere af vejledningens afsnit om lukning af adgange, at medarbejderes adgange til systemer og netværk lukkes ved medarbejderens fratrædelse. Derudover fremgår det, at lederen allerede ved medarbejderens opsigelse skal tage stilling til, om der er særlige forhold eksempelvis overlevering af verserende sager til anden kollega eller oprydning på fildrev, postkasse mv. Derudover er der i afsnittet henvist til krav udstukket af system- og dataejere for de systemer, som medarbejderen har haft adgang til, og der er henvist til lokale forretningsgange.
Derudover er det beskrevet i vejledningens afsnit om ændring i arbejdsopgaver, at lederne skal sørge for, at adgange og rettigheder bliver ajourført i de systemer, som deres medarbejdere har adgang til, hvis deres medarbejdere får nye eller ændrede arbejdsopgaver. Det fremgår i den forbindelse, at der skal vises særlig årvågenhed i forhold til systemer, som indeholder følsomme personoplysninger og økonomisystemer. Det er herefter beskrevet, hvordan brugerrettigheder styres på centralt og decentralt niveau.
Brøndby Kommune har fremsendt en årsrapport vedrørende informationssikkerhed og databeskyttelse i 2022-2023 fra kommunens databeskyttelsesrådgiver, som bl.a. indeholder et afsnit om kommunens sikkerhedsbrud. Det fremgår bl.a., om et af de mere alvorlige brud i kommunen, at en leder efter sin fratrædelse kunne få adgang til et system med oplysninger om sine tidligere medarbejdere, da processen for inddragelse af brugerrettigheder for eksterne systemer ikke havde virket efter hensigten.
I det skema, som Datatilsynet anmodede Brøndby Kommune udfylde og fremsende til tilsynet forud for tilsynsbesøget, skulle kommunen notere datoerne for de seneste to dokumenterede kontroller af adgangsrettigheder før 1. oktober 2023. Denne dato var valgt, da den lå umiddelbart før varslingen af tilsynsbesøget.
Brøndby Kommune noterede i skemaet, at de seneste to dokumenterede kontroller af adgangsrettigheder forud for den 1. oktober 2023 var foretaget den 8. januar 2020 og den 26. marts 2021. Brøndby Kommune har efterfølgende oplyst, at disse kontroller blev foretaget i form af stikprøver af 10 brugere.
Datatilsynet har i øvrigt modtaget en kopi af en mail fra december 2019, som vedrører stikprøvetilsyn af 10 tilfældige brugeres adgang til KMD Nexus. Det fremgår af mailen, at stikprøvens formål var at kunne dokumentere, at det var relevant personale, der havde adgang til systemet, og at kontrollen fremover ville ske halvårligt.
Brøndby Kommune har efter tilsynsbesøget bemærket, at brugergennemgange sker løbende og på grundlag af indmeldinger fra organisationen. I den forbindelse har kommunen oplyst, at disse brugergennemgange omfatter de-aktivering af brugere, der ikke er i organisationen mere, eller som har ændret jobfunktion, og at ændringer dokumenteres i NPS systemet (servicedesk-system).
Brøndby Kommune har efterfølgende oplyst, at stikprøverne af adgangen til KMD Nexus – herunder stikprøver i januar 2020 og marts 2021 – var et supplement til brugerstyringen, og at hensigten var en kontrol af, om der var fejl i brugeres adgange. I den forbindelse har kommunen oplyst, at Brøndby Kommune på daværende tidspunkt havde vurderet, at de etablerede procedurer om brugeroprettelser var tilstrækkelige, da der var etableret foranstaltninger som sikrede, at brugere automatisk blev lukket, når de ikke længere var i Active Directory (herefter AD). Kommunen har endvidere anført følgende om et supplement til disse foranstaltninger i et KMD Nexus kalendersystem:
”På ældreområdet var, og er foranstaltningerne suppleret med en automatik i Nexus kalendersystemet, som gør kalenderstyrerne opmærksom på, at få slettet brugere hos systemadministrator, hvis der er ’huller’ i vagtplanerne på eksempelvis et plejecenter. Hullerne indikerer at der skal foretages manuel korrektion, f.eks. lukning af en bruger. Korrektioner sker regelmæssigt/dagligt.
For så vidt angår bosteder og botilbud, så er arbejdsgangene manuelle. Her foretages brugerændringer, når en leder beder om det via et oprettelses- og ændringsskema. Hvis der konstateres afvigelser, rettes de med det samme.”
Kommunen oplyste på tilsynsbesøget, at de fremadrettet vil have fokus på at sikre, at der udføres kontrol i overensstemmelse med retningslinjerne, hvor det er hensigten at formalisere forretningsgangene.
Efter Datatilsynets anmodning har Brøndby Kommune fremsendt dokumentation for kommunens mailkorrespondance i forbindelse med verificering af brugere med udvidede rettigheder i foråret og efteråret 2022 og 2023.
For så vidt angår eksterne brugere, herunder vikarer, har Brøndby Kommune oplyst, at de ikke har en formaliseret proces for kontrol af rettidig nedlæggelse af disse brugere, men at kommunen jævnligt modtager besked om brugeroprettelser og brugernedlæggelser fra eksterne leverandører. I forlængelse heraf har kommunen oplyst, at det er aftalt med de eksterne leverandører, at der skal foretages en regelmæssig gennemgang af alle eksterne medarbejderes rettigheder, og at kommunen var i gang med at udarbejde retningslinjer for denne gennemgang, som vil blive gennemført hvert halve år fremadrettet samtidig med gennemgang af de fastansatte medarbejdere.
Brøndby Kommune har i december 2023 oplyst, at det efter tilsynsbesøget ledelsesmæssigt var blevet besluttet, at der med omgående virkning skulle foretages systematisk kontrol af alle brugere i KMD Nexus på følgende måde:
- Der trækkes en liste over aktive brugere i KMD Nexus på organisationsniveau.
- Listen sendes til nærmeste leder, som gennemgår og kontrollerer, om medarbejderne har de rette rettigheder, eller om der er medarbejdere, der står på listen, som ikke tilhører organisationen, og derved skal slettes.
- Brugeradministrator i Nexus foretager rettelserne og dokumenterer det på en sag i KMD Nova.
- Kontrollen foretages mindst hver sjette måned.
I den forbindelse har Brøndby Kommune oplyst, at gennemgangen i løbet af 2024 vil blive erstattet af en workflow-baseret arbejdsgang i et attesteringsmodul i Det Fælleskommunale Rollekatalog. Attesteringen sikrer ifølge kommunen en løbende fuldkommen og dokumenteret gennemgang af alle brugerne og deres rettigheder.
Efter Datatilsynets anmodning har Brøndby Kommune i august 2024 oplyst om resultatet af den systematiske kontrol af alle brugere, som kommunen efter tilsynsbesøget besluttede skulle foretages. Kommunen konstaterede, at syv eksterne brugere hos tre af Brøndby Kommunes fritvalgsleverandører (madudbringning- og tøjvaskfirmaer) ikke var lukket rettidigt i systemet. Brugerne skulle have været lukket i november 2023, men blev først lukket den 6. august 2024. Brøndby Kommune har oplyst, at de via deres personlige firmaprofil med meget begrænsede rettigheder kun kunne se oplysninger om borgere, som det pågældende firma skulle levere mad eller vasketøj til, herunder om borgeren var hjemme eller om vedkommende var midlertidigt frameldt. Derudover oplyste kommunen, at de i forbindelse med den systematiske kontrol endvidere konstaterede, at tre ansatte i kommunen havde flere rettigheder, end de skulle have. Brugerne havde adgang til at bestille APV hjælpemidler til ansatte frem til den 6. august 2024, selvom de skulle have haft fjernet deres rettigheder i juni 2024.
For så vidt angår den workflow-baserede arbejdsgang har Brøndby Kommune oplyst, at kommunen i juli 2024 tog første del af kommunens IDM-system i brug, som indebærer, at brugere bliver deaktiveret to dage efter, at de er lukket i lønsystemet. Kommunen har i den forbindelse oplyst om de næste skridt i kommunens arbejde med at implementere en workflow-baseret arbejdsgang i attesteringsmodulet. Kommunen har oplyst, at det forventes, at IDM-systemet i løbet af oktober 2024 har en tilstrækkelig høj kvalitet til, at attesteringsmodulet kan tages i brug.
Efter tilsynsbesøget har Datatilsynet anmodet Brøndby Kommune fremsende en kopi af kommunens eventuelle procedurebeskrivelse om tildeling/nedlæggelse af brugeradgange i KMD Nexus i forbindelse med ansættelse/fratrædelse. Brøndby Kommune har herefter fremsendt en kopi af kommunens procedurebeskrivelse om tildeling/nedlæggelse af brugeradgange i KMD Nexus i forbindelse med ansættelse/fratrædelse samt en kopi af kommunens skemaer til brug for brugeroprettelse, brugerændring og brugernedlæggelse. Kommunen har i den forbindelse oplyst, at procedurebeskrivelsen også var gældende før Datatilsynets tilsynsbesøg, men at den hidtil ikke har været formuleret skriftligt i et særskilt dokument. Det fremgår af den fremsendte procedurebeskrivelse, at den er opdateret den 5. august 2024.
Det fremgår bl.a. af den nævnte procedurebeskrivelse om tildeling/nedlæggelse af brugeradgange i KMD Nexus, at brugere lukkes automatisk, når de ikke længere er i lønsystemet, og at ændringer foretages, når der er behov for det. Datatilsynet har forstået, at der på tidspunktet for tilsynsbesøget ikke var en sådan automatisk proces, men at den først er implementeret efter tilsynsbesøget i forbindelse med, at kommunen tog første del af kommunens IDM-system i brug, som ifølge kommunen indebærer, at brugere bliver deaktiveret to dage efter, at de er lukket i lønsystemet.
3.2. Vedrørende flerfaktorautentifikation/Multi-Factor Authentication (MFA) ved adgang direkte fra internettet
Det fremgår af det til sagen oplyste, at der i KMD Nexus, SAPA og Momentum, som alle er IT-systemer med adgang direkte fra internettet (uden login på det interne netværk), behandles særligt beskyttelsesværdige personoplysninger (eksempelvis følsomme personoplysninger, oplysninger om børn, personnumre, beskyttede adresser mv.).
Efter en gennemgang af kommunens svar i modenhedstilsynet i 2021 og 2022, har Datatilsynet konstateret, at kommunen i 2021 oplyste, at MFA var fuldt implementeret, og at kommunens svar i 2022 havde ændret sig til, at MFA ikke var fuld implementeret. En af Datatilsynets anbefalinger ved modenhedstilsynet i 2022 vedrørte derfor MFA.
Brøndby Kommune oplyste på tilsynsbesøget, at skiftet i svaret formentlig skyldes, at kommunens daværende databeskyttelsesrådgiver ikke var klar over, at MFA ikke var implementeret i 2021. Brøndby Kommune slog således fast, at kommunens svar i modenhedstilsynet 2021 vedrørende MFA ikke var retvisende, da MFA ikke var implementeret i 2021.
Derudover oplyste Brøndby Kommune, at kommunens medarbejdere fra den 15. november 2023 alene har kunnet tilgå kommunens fagsystemer via kommunens netværk (domænet) eller via internettet med en to-faktor autentifikationsløsning. Der har således været etableret to-faktor log-in på de tre ovennævnte systemer siden 15. november 2023.
Forud for tilsynsbesøget fremsendte Brøndby Kommune kommunens risikovurdering fra 2018-2019 med titlen ”Detaljeret risikovurdering 2018-19”, som ses at vedrøre en række systemer, herunder KMD Nexus og Momentum. Det fremgår af risikovurderingen, at det er vurderet, hvor store forretningsmæssige konsekvenser, eksempelvis tab af tillid og omdømme og økonomiske tab, det kan få for kommunen, hvis en hændelse indtræffer. Derudover fremgår det, at risikovurderingen er udarbejdet på baggrund af en forretningsmæssig vurdering af de konsekvenser, det kan få, hvis der sker et sikkerhedsbrud, og hvor sandsynligt det er, at en given hændelse kan ske, gennem en sårbarhedsvurdering.
I forhold til KMD Nexus har Brøndby Kommune oplyst forud for tilsynsbesøget, at der i risikovurderingen er en anbefaling om at implementere to-faktor login, og at Brøndby Kommune gentagne gange har påpeget over for leverandøren, at der manglede to-faktor login. Kommunen har i øvrigt henvist til den ovenfor nævne risikovurdering, hvor det følgende fremgår i forhold til KMD Nexus: "Der er en sårbarhed i Nexus i og med at der ikke er to-faktor på mobile enheder. Der arbejdes på en løsning".
I forhold til Momentum har Brøndby Kommune oplyst forud for tilsynsbesøget, at der foreligger en risikovurdering, som ligger bag valg/accept af, at der ikke var implementeret MFA. Brøndby Kommune har i den forbindelse henvist til risikovurderingen, der er nævnt ovenfor. Derudover har kommunen oplyst, at de arbejder på en løsning.
Det fremgår af risikovurderingen, at Momentum er det mest kritiske system, som anvendes i kommunens beskæftigelsesindsats. I den forbindelse fremgår det, at alt om borgeren registreres i Momentum, og at systemet har relation til CPR-systemet. Det fremgår derudover, at kommunen ikke har oplevet brud på fortroligheden, og at sandsynligheden vurderes at være lav. Herefter fremgår det, at adgangen sikres gennem Active Directory Federation Services (ADFS).
I forhold til SAPA har Brøndby Kommune oplyst følgende forud for tilsynsbesøget:
”Der foreligger risikovurdering fra KOMBIT - "Adgangskontrol sker på grundlag af Context Handler Token, der beskyttes af https. Sessions-cookies er tidsbegrænsede. Processen er sikkerhedstestet af sikkerhedsfirma." BK har testet og opdaget at det er muligt at logge på eksternt uden brug af to-faktor, hvilket er i uoverensstemmelse med ovennævnte. Brøndby Kommune arbejder på en løsning.”
I den forbindelse har Brøndby Kommune henvist til kommunens risikovurdering vedrørende SAPA. Det fremgår heraf, at konsekvensen ved tab af fortrolighed af oplysningerne i SAPA ved autentificeringsangreb på grund af utilstrækkelig brugerautentifikation var vurderet til at være meget alvorlig. Det fremgår i den forbindelse, at systemet indeholder store mængder personoplysninger, herunder fortrolige og følsomme personoplysninger, og at det vurderes, at tab af fortrolighed vil påvirke de registreredes privatlivsrettigheder i meget alvorlig grad. Det fremgår derudover af risikovurderingen, at sandsynligheden for autentifikationsangreb var vurderet til at være mindre sandsynlig, da adgangskontrol håndhæves på grundlag af Context Handler Token.
4. Begrundelse for Datatilsynets afgørelse
4.1. Relevante retsregler
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f – der udgør et af de grundlæggende principper i databeskyttelsesforordningen – at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.
Det følger endvidere af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger. Artikel 32 er en udmøntning af det grundlæggende princip om behandlingssikkerhed i artikel 5, stk. 1, litra f.
Det følger derudover af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører.
4.2. Vedrørende periodisk kontrol med adgangsrettigheder
Datatilsynet har konstateret, at Brøndby Kommune har udarbejdet en skriftlig vejledning om rettighedsstyring, hvor der er fastsat retningslinjer om, at der hver sjette måned skal foretages dokumenteret gennemgang af brugeres rettigheder i systemer, hvor der behandles følsomme personoplysninger, og at gennemgangen for øvrige systemer skal foretages mindst en gang årligt.
Brøndby Kommune har fremsendt dokumentation for, at kommunen har foretaget stikprøver af 10 tilfældige brugeres adgange til KMD Nexus senest i januar 2020 og i marts 2021.
Kommunen har imidlertid ikke derudover kunnet dokumentere at have foretaget løbende kontrol af almindelige brugeres adgangsrettigheder i KMD Nexus i overensstemmelse med kommunens retningslinjer.
Den manglende kontrol af medarbejdernes adgange understøttes af kommunens svar i modenhedstilsynene i 2020 og 2021.
For så vidt angår eksterne brugere, herunder vikarer, har Brøndby Kommune i øvrigt oplyst, at de ikke har en formaliseret proces for kontrol af rettidig nedlæggelse af disse brugere.
Den systematiske kontrol af alle brugere, som kommunen efter tilsynsbesøget besluttede skulle foretages, har ifølge Brøndby Kommune vist, at syv eksterne brugere ikke var lukket rettidigt i systemet, da de skulle have været lukket i november 2023, men først blev lukket i august 2024. Derudover viste kontrollen, at tre ansatte i kommunen havde flere rettigheder, end de skulle have. Brugerne skulle have haft fjernet de pågældende rettigheder i juni 2024, men de blev først fjernet i august 2024 i forbindelse med kontrollen.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed efter databeskyttelsesforordningens artikel 32, stk. 1, normalt vil indebære, at brugeradgange til systemer er begrænset til de personoplysninger, som er nødvendige for de pågældende brugeres behov.[3]
Kravet om passende sikkerhed vil efter Datatilsynets opfattelse derfor normalt indebære, at der er implementeret procedurer for tildeling, ændring og fratagelse af adgangsrettigheder til systemer, således at kun brugere, der har et arbejdsbetinget behov for at have adgang til oplysningerne, er autoriseret hertil.
Datatilsynet skal i den forbindelse bemærke, at rettighedsstyring i systemer med personoplysninger skal forhindre uautoriseret adgang til personoplysninger samt uautoriseret ændring eller tab af personoplysninger i systemet i tilfælde, hvor brugere har adgang til at ændre eller slette oplysninger.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed derudover indebærer, at den dataansvarlige løbende kontrollerer, om adgange til systemer med personoplysninger er begrænset til de brugere, der har et sagligt behov for adgang til oplysningerne, og at brugeradgangene til systemer er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende brugers opgavevaretagelse i kommunen.
Det skyldes, at en proces med tildeling, fratagelse eller ændring af adgangsrettigheder ofte involverer mange mennesker, og at der derfor med al sandsynlighed vil være fejl, som kun opdages ved periodiske kontroller. Derudover kan de personer, der skal tildele, fratage eller ændre adgangsrettigheder have et andet fokus end databeskyttelse. De kan primært have fokus på at sikre tilstrækkelige adgange til, at medarbejdere kan udføre deres opgaver, og de kan dermed have mindre fokus på hurtig lukning af adgange, når de ikke længere er nødvendige.
Det følger således også af databeskyttelsesforordningens artikel 32, stk. 1, litra d, at en foranstaltning, der kan være relevant at gennemføre, er en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. Periodisk kontrol (revision) skal således efter omstændighederne også omfatte kontrol af autorisationer og etablerede adgange. Manglende periodisk kontrol (revision) indebærer efter Datatilsynets opfattelse en unødig høj risiko for, at utilstrækkelig eller mangelfuld begrænsning af adgangsrettigheder ikke identificeres rettidigt.
En kontrol af adgangsrettigheder kan omfatte én eller flere af følgende undersøgelser[4]:
- Om de faktisk etablerede adgangsrettigheder er omfattet af en gældende, dokumenteret autorisation.
- Om adgange skulle være lukket tidligere grundet en tidsbegrænset/udløbet autorisation, fratrædelse, orlov eller andet.
- Om autorisationerne er aktuelle – altså om alle godkendelser af adgangsrettigheder er nødvendige og bunder i et arbejdsbetinget behov.
- Om der er brugerkonti, som ikke længere benyttes af den retmæssige bruger ("ghost accounts"), og som derfor burde være lukket.
Det er Datatilsynets opfattelse, at hyppigheden af de ovenfor nævnte kontroller bør justeres alt efter, hvilke problemer kontrollen afslører. Hvis kontrollerne f.eks. viser, at der sjældent er fejl, kan færre kontroller fremadrettet være tilstrækkeligt. Hvis kontrollerne derimod viser mange fejl, bør hyppigheden eller omfanget som udgangspunkt øges. Mange fejl kan også antyde, at andre foranstaltninger/processer ikke fungerer optimalt. I så fald kan det være mere relevant at forsøge at rette op på den daglige styring af adgangsrettigheder frem for at øge hyppigheden af kontrollerne.
Det er i øvrigt Datatilsynets opfattelse, at der i systemer med et stort antal fortrolige og beskyttelsesværdige oplysninger om et stort antal borgere skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger.
På baggrund af de modtagne oplysninger lægger Datatilsynet til grund, at Brøndby Kommune behandler et stort antal beskyttelsesværdige personoplysninger, herunder fortrolige og følsomme oplysninger, om et stort antal borgere i KMD Nexus. Datatilsynet lægger endvidere til grund, at et stort antal brugere har adgang til personoplysningerne i KMD Nexus, og at brugerne både omfatter medarbejdere i kommunen og vikarer.
Datatilsynet lægger derudover til grund, at Brøndby Kommune ikke har foretaget løbende dokumenteret kontrol af almindelige brugeres adgange til KMD Nexus, da kommunens seneste kontroller forud for den 1. oktober 2023 var foretaget i januar 2020 og marts 2021.
Datatilsynet finder på baggrund af ovenstående, at Brøndby Kommune – ved ikke have foretaget løbende dokumenteret kontrol af brugeres adgange til KMD Nexus – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Brøndby Kommunes behandling af personoplysninger.
Datatilsynet har noteret, at Brøndby Kommune efter tilsynsbesøget har besluttet, at der skal foretages systematisk kontrol af alle brugere i KMD Nexus, som skal foretages mindst hver sjette måned, og at der i løbet af 2024 vil blive implementeret en workflow-baseret arbejdsgang i et attesteringsmodul i Det Fælleskommunale Rollekatalog, som skal sikre kommunen en løbende fuldkommen og dokumenteret gennemgang af alle brugerne og deres rettigheder.
4.3. Vedrørende flerfaktorautentifikation/Multi-Factor Authentication (MFA) ved adgang direkte fra internettet
På baggrund af oplysningerne i den fremsendte risikovurdering fra 2018-2019 lægger Datatilsynet til grund, at Brøndby Kommune allerede tilbage i 2018 var opmærksom på, at der ikke var etableret MFA ved login til KMD Nexus direkte fra internettet, og at kommunen vurderede, at det udgjorde en sårbarhed.
Datatilsynet lægger endvidere til grund, at kommunen ikke forud for Datatilsynets varsling af tilsynsbesøget havde etableret MFA ved login til Momentum eller SAPA direkte fra internettet, men at kommunen arbejdede på en løsning.
Derudover vedrørte én af Datatilsynets konkrete anbefalinger til Brøndby Kommune i forbindelse med modenhedstilsynet i 2022 MFA.
Derudover lægger Datatilsynet til grund, at Brøndby Kommune implementerede MFA den 15. november 2023, så kommunens medarbejdere alene kunne tilgå kommunens fagsystemer, herunder KMD Nexus, Momentum og SAPA, via kommunens netværk eller via internettet med en to-faktor autentifikationsløsning. MFA blev derfor først implementeret efter, at Datatilsynet havde varslet tilsynet over for Brøndby Kommune og fem år efter, at kommunen i en risikovurdering vedrørende KMD Nexus havde vurderet, at det udgjorde en sårbarhed, at der ikke var MFA ved login direkte fra internettet.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed efter databeskyttelsesforordningens artikel 32, stk. 1, normalt vil indebære, at den dataansvarlige ved oprettelse af fjernadgange til systemer – herunder f.eks. mail-konti, kundesystemer og sagsbehandlingssystemer – hvor der behandles følsomme og fortrolige personoplysninger og/eller oplysninger om et større antal registrerede, skal have implementeret foranstaltninger til verifikation, som f.eks. certifikat, MFA eller anden tilsvarende foranstaltning til verifikation.[5] Formålet med disse foranstaltninger er at styrke kontrollen med, hvem der tilgår et it-system, så sandsynligheden for uautoriseret adgang minimeres. Dette er særligt relevant, hvor adgangen skabes fra et netværk, som ikke er undergivet den dataansvarliges kontrol. Ved adgang til særligt beskyttelsesværdige personoplysninger via internettet kan det således være umuligt at beskyttet dette tilstrækkeligt gennem et login med kun én faktor.
Det er i den sammenhæng ikke relevant, at adgangskontrol håndhæves på grundlag af et såkaldt Context Handler Token, som omtales i Brøndby Kommunes risikovurdering vedrørende SAPA. I den forbindelse bemærker Datatilsynet, at en ”token” udstedes på baggrund af et gennemført login, men at det ikke siger noget om, hvad det login består af (hvor mange faktorer).
Datatilsynet finder på baggrund af ovenstående, at Brøndby Kommune – ved ikke at have implementeret MFA før den 15. november 2023 – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Brøndby Kommunes behandling af personoplysninger.
4.4. Samlet vurdering
Datatilsynet finder på baggrund af ovenstående, at Brøndby Kommune ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Brøndby Kommunes behandling af personoplysninger.
Datatilsynet udtaler derfor alvorlig kritik af, at Brøndby Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Der henvises til Datatilsynets vejledning om adgangsrettigheder ”Styr på rettighedsstyring”, som er tilgængelig på tilsynets hjemmeside: Styr på rettighedsstyring
[4] Der henvises til Datatilsynets foranstaltningskatalog på tilsynets hjemmeside, hvor periodisk kontrol af adgangsrettigheders aktualitet bl.a. er beskrevet: Periodisk kontrol af adgangsrettigheders aktualitet (datatilsynet.dk)
[5] Der henvises til Datatilsynets foranstaltningskatalog på tilsynets hjemmeside, hvor flerfaktorautentifikation bl.a. er beskrevet: Flerfaktorautentifikation (MFA)