Journalnummer: 2015-632-0153
1. På baggrund af artikler i medierne samt en foreløbig orientering fra Middelfart Kommune blev Datatilsynet bekendt med, at fortrolige og følsomme personoplysninger i en af kommunens it-løsninger havde været tilgængelige for uvedkommende via internettet.
Den 20. november 2015 er Middelfart Kommune efter anmodning fra Datatilsynet kommet med en udtalelse i sagen.
Sammenfattende må Datatilsynet konstatere, at Middelfart Kommune siden 2008 har behandlet særdeles følsomme personoplysninger i it-systemet ISAP, herunder bl.a. oplysninger om helbredsmæssige forhold og om adfærd udvist af beboere på kommunens institutioner. Samtidig kan tilsynet konstatere, at persondataloven og sikkerhedsbekendtgørelsen er tilsidesat på følgende punkter:
1. Middelfart Kommune har ikke truffet de fornødne sikkerhedsforanstaltninger omkring det omhandlede it-system. Middelfart Kommune har således ikke efterlevet persondatalovens § 41, stk. 3, og en række detaljerede krav i sikkerhedsbekendtgørelsen. Det gælder følgende punkter:
a) Mangelfuld tilrettelæggelse af autorisationer og adgangskontrol ved, at en gæstebrugerkonto kunne anvendes af alle på Vestbo uden indtastning af adgangskode, at oplysninger om kontoen tillige blev gjort tilgængelig på internettet, og at der efter det oplyste er anvendt én fællesbruger pr. institution med fælles password. Middelfart Kommune har herved ikke levet op til sikkerhedsbekendtgørelsens §§ 11 og 12. Datatilsynet henstiller desuden, at Middelfart Kommune indretter sin behandling af følsomme personoplysninger på dette område således, at der ikke er mulighed for at logge ind via internettet kun med brugernavn og adgangskode.
b) Manglende halvårlig kontrol af autorisationer. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 17, stk. 2.
c) Manglende opfølgning på afviste adgangsforsøg. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 18.
d) Manglende logning. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 19.
2. Manglende kontrol med databehandlere. Middelfart Kommune har ikke efterlevet persondatalovens § 42, stk. 1.
3. Manglende skriftlige databehandleraftaler med de anvendte databehandlere. Middelfart Kommune har ikke efterlevet persondatalovens § 42, stk. 2.
Der er efter Datatilsynets opfattelse tale om meget omfattende mangler i Middelfart Kommunes efterlevelse af persondataloven og sikkerhedsbekendtgørelsen i forhold til et it-system med følsomme personoplysninger. Datatilsynet finder på den baggrund, at der er tale om særdeles kritisable overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.
Datatilsynet har ved brev af dags dato underrettet byrådet i Middelfart Kommune om de konstaterede overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.
En nærmere gennemgang af sagen følger nedenfor.
2. Sagsfremstilling
Middelfart Kommune har oplyst, at ISAP-systemet bliver anvendt af medarbejdere i kommunen til registrering af arbejds- og tingsskader. ISAP betyder ”International Security Application Program”. Kommunen tog løsningen i brug i april 2008. Løsningen er ikke udviklet af kommunen, men af en ekstern virksomhed. Løsningen anvendes efter det oplyste af en lang række kommuner og virksomheder.
Til spørgsmålet om, hvor mange personer Middelfart Kommune behandler oplysninger om i løsningen, er det oplyst, at der i Middelfart Kommune i 2014 var ca. 400 interne arbejdsskader og ca. 100 eksterne arbejdsskader, i alt ca. 500 årligt. Nogle af indberetningerne vedrører de samme personer. Der vil således være gengangere af personer i de indberettede arbejdsskader.
Registreringen af arbejdsskader i ISAP omfatter bl.a. personnumre, navne og telefonnumre på medarbejdere og enkelte borgere, beskrivelser af udadreagerende adfærd fra navngivne beboere rettet mod navngivet personale, helbredsmæssige forhold mv.
Middelfart Kommune har oplyst, at der er oprettet en fællesbruger pr. institution med fælles password. Denne bruger har kun adgang til at se oplysninger på egen institution.
Kommunen har desuden oplyst, at den har givet adgang til de enkelte institutioner til at se deres egne indberetninger (og kun deres eget område). Kommunen har udstedt brugernavn og password til 2-3 brugere for hver institution fra 1.1.2014.
Kommunen har i den forbindelse bemærket, at det må konstateres, at kommunen desværre ikke har levet op til reglerne i sikkerhedsbekendtgørelsen om autorisation og adgangskontrol vedrørende ISAP-systemet.
Det er endvidere oplyst, at personoplysninger i ISAP-systemet har været tilgængelige via internettet efter, at en medarbejder i kommunen med administratorrettigheder har oprettet en gæstebruger-konto, som har kunnet tilgås via et link på kommunens arbejdsmiljøportal uden brug af brugernavn og password.
Den omtalte gæstebruger-konto gav ifølge Middelfart Kommune alene adgang til oplysninger om arbejdsskaderegistreringer foretaget af medarbejdere ansat på bo- og beskæftigelsesstedet Vestbo.
Gæstebrugerkontoen er systemet født med, og kontoen har som udgangspunkt kun adgang til at registrere nye arbejdsskader, ikke til at se allerede indtastede registreringer. På Vestbo blev gæstebrugerkontoen ved en fejl åbnet således, at alle fik læseadgang til de indtastede oplysninger.
Datatilsynet har endvidere spurgt, hvilke krav kommunen generelt har stillet til login til løsningen, herunder om kravene til de anvendte adgangskoder.
Middelfart Kommune har svaret, at der ingen direkte krav er stillet, men at der er givet et brugernavn samt password. Kommunen har efter det oplyste nøje præciseret, at password skulle ændres på den enkelte institution, og fortalt hvordan det skulle gøres.
Datatilsynet har spurgt, om der sker login via internettet alene baseret på brugernavn og adgangskode. Middelfart Kommune har svaret, at ja, der skete login alene baseret på brugernavn og adgangskode.
På Datatilsynets spørgsmål om, hvorvidt der generelt er adgang til at logge ind på kommunens systemer via internettet og ikke kun via kommunens net, er det oplyst, at der er adgang til kommunens systemer via Citrix-portal. Portalen anvender to faktor-godkendelse (brugernavn+password samt RSA token-code).
Kommunen har endvidere oplyst, at der ikke på noget tidspunkt har været foretaget kontrol med autorisationer i ISAP-systemet.
Middelfart Kommune har yderligere oplyst, at der ikke har været etableret registrering af afviste adgangsforsøg i ISAP-systemet.
Middelfart Kommune har endvidere udtalt, at leverandøren telefonisk har fortalt, at der ikke føres log efter § 19 i sikkerhedsbekendtgørelsen.
Endelig er det oplyst, at Middelfart Kommune i forlængelse af den skete sikkerhedshændelse har sat ISAP-systemet ud af drift og dermed lukket for adgangen til de i sagen omhandlede personoplysninger.
Om brug af databehandlere er det oplyst, at RM-Group A/S forestår drift og databehandling af systemet, som driftsafvikles fra Athena IT-Group.
Middelfart Kommune har endvidere oplyst, at kommunen desværre ikke har påset, at behandlingen af personoplysninger hos RM-Group er sket under iagttagelse af tilstrækkelige sikkerhedsforanstaltninger, jf. persondatalovens § 42, stk. 1, ligesom der ikke er indgået databehandleraftale med RM-Group A/S i overensstemmelse med § 42, stk. 2, i persondataloven.
Middelfart Kommune har desuden besvaret en række spørgsmål vedrørende bl.a. instruktion af medarbejdere og uddybende sikkerhedsregler.
Datatilsynet har endeligt spurgt om, hvilke skridt Middelfart Kommune vil tage for at sikre, at persondataloven og sikkerhedsbekendtgørelsen iagttages fremover. Middelfart Kommune har svaret, at direktionen og IT-Styregruppen i Middelfart Kommune på baggrund af pågældende sag har besluttet sig for at iværksætte yderligere tiltag i forbindelse med at oppebære et højt it-sikker-hedsniveau. Der er tale om 15 punkter under 5 hovedtemaer:
- Systemidentifikation
- Godkendelse og fornyet godkendelse af systemer
- Uddannelse og instruktion
- Eksekvering af uddybende sikkerhedsbestemmelser
- Revision
Kommunen har i den forbindelse henvist til et fremsendt bilag angående "Forslag til yderligere tiltag i relation til IT-sikkerhed” (notat af 3. november 2015).
3. Relevante regler i persondataloven og sikkerhedsbekendtgørelsen
Persondatalovens1 regler indebærer, at myndigheder, når de behandler personoplysninger, skal sørge for, at personoplysningerne er beskyttet med de fornødne sikkerhedsforanstaltninger. De nærmere regler findes i lovens §§ 41 og 42.
For offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen2 og sikkerhedsvejledningen3.
Det følger af sikkerhedsbekendtgørelsens § 11, at kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, og at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.
Ifølge sikkerhedsbekendtgørelsens § 12 skal der træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
Det følger endvidere af sikkerhedsbekendtgørelsens § 14, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
I den forbindelse er der ved transmission af personnumre og andre følsomme og/eller fortrolige personoplysninger over internettet eller andre åbne net efter Datatilsynets praksis krav om kryptering.
Hvis der etableres login til følsomme personoplysninger via det åbne internet, anbefaler Datatilsynet generelt, at der anvendes certifikat/digital signatur eller anden løsning med flere faktorer.
I forhold til den konkrete ISAP-løsning er det Datatilsynets opfattelse, at login baseret på brugernavn og adgangskode ikke i tilstrækkelig grad lever op til den sikkerhed, som må kræves, når en løsning som denne giver adgang til følsomme personoplysninger via internettet.
Datatilsynet skal derfor henstille, at Middelfart Kommune indretter sin behandling af følsomme personoplysninger på dette område således, at der ikke er mulighed for at logge ind via internettet kun med brugernavn og adgangskode.
Da behandlingen af følsomme personoplysninger i ISAP-systemet er omfattet af anmeldelsespligten til Datatilsynet, skal Middelfart Kommune tillige leve op til kapitel 3 i sikkerhedsbekendtgørelsen. Se herunder sikkerhedsvejledningen vedrørende sikkerhedsbekendtgørelsens § 16:
”§ 16. Autorisationer, jf. § 11, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger.
Udover de generelle krav i § 11 vedrørende autorisation af brugere kræves det i forbindelse med anmeldelsespligtige behandlinger, at myndigheden konkret tager stilling til, hvorvidt en bruger kun skal kunne foretage forespørgsler, eller om brugeren også skal kunne inddatere oplysninger, samt om brugeren skal kunne slette oplysninger. Såfremt der er brugere, som kun skal autoriseres til enkelte af de nævnte funktioner, skal systemerne være teknisk indrettet således, at brugerne kun gives mulighed for adgang til oplysningerne i overensstemmelse med de givne autorisationer.
Når den tekniske adgangskontrol til systemets oplysninger og anvendelser heraf er baseret på brugeridentifikation med tilhørende password, skal den enkelte bruger tildeles et personligt og fortroligt password.
Det personlige og fortrolige password er knyttet til den tilhørende brugeridentifikation og må kun være kendt af den pågældende bruger. Der kan således ikke anvendes en fælleskode, dvs. én brugeridentifikation med tilhørende password, som anvendes af flere brugere.”
Det følger endvidere af sikkerhedsbekendtgørelsens § 17, stk. 2, at der skal ske halvårlig kontrol af, at autoriserede personer fortsat opfylder betingelserne i sikkerhedsbekendtgørelsens § 11, stk. 2 og 3, og § 16, jf. sikkerhedsbekendtgørelsens § 17, stk. 1.
Ifølge sikkerhedsbekendtgørelsens § 18 skal der foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal ske løbende opfølgning i myndigheden.
Herudover kræves der for visse behandlinger omfattet af anmeldelsespligten til Datatilsynet logning efter bestemmelsen i sikkerhedsbekendtgørelsens § 19.
Sikkerhedsbekendtgørelsens § 19, stk. 1 og 2, er sålydende:
”Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år.
Stk. 2. Bestemmelsen i stk. 1 finder ikke anvendelse for personoplysninger, som indgår i tekstbehandlingsdokumenter og lignende, der ikke foreligger i endelig form. Det samme gælder sådanne dokumenter, som foreligger i endelig form, hvis der sker sletning inden for en af den dataansvarlige myndighed nærmere fastsat kortere frist.”
Af Datatilsynets sikkerhedsvejledning fremgår vedrørende § 19, stk. 1, bl.a.:
”Ved »alle anvendelser af personoplysninger« skal her forstås de anvendelser, som foretages af brugere af systemet i forbindelse med deres arbejde. Der er en række aktiviteter i forbindelse med driftsafvikling, som indebærer overvågning af og indgriben i systemerne af drifts- og systemmedarbejdere. Anvendelser af personoplysninger i forbindelse med sådanne aktiviteter er ikke omfattet af logningskravet.
Logningen skal bl.a. omfatte en angivelse af den person, som de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Foretages der en søgning på en person ved angivelse af personnummer, skal således det anvendte personnummer eller anden entydig identifikation af den pågældende person registreres i loggen. Hvis der søges på fødselsdato, skal den angivne dato (søgekriteriet) registreres i loggen, men der er ikke krav om registrering af identifikation af de enkelte personer, som indgår i søgeresultatet, dvs. alle fundne personer med den angivne fødselsdato. Angivelsen i loggen af det anvendte søgekriterium giver mulighed for efterfølgende at rekonstruere behandlingen, herunder hvilke personer som indgik i behandlingen, hvilket bl.a. er formålet med logningen.”
Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i lovens § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
Endvidere følger det af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem.
4. Datatilsynets konklusioner
Som fremhævet indledningsvist i dette brev må Datatilsynet konstatere, at Middelfart Kommune siden 2008 har behandlet særdeles følsomme personoplysninger i it-systemet ISAP, herunder bl.a. oplysninger om helbredsmæssige forhold og om adfærd udvist af beboere på kommunens institutioner.
Samtidig kan tilsynet, som det også er fremhævet i indledningen af brevet, konstatere, at persondataloven og sikkerhedsbekendtgørelsen er tilsidesat på følgende punkter:
1. Middelfart Kommune har ikke truffet de fornødne sikkerhedsforanstaltninger omkring det omhandlede it-system. Middelfart Kommune har således ikke efterlevet persondatalovens § 41, stk. 3, og en række detaljerede krav i sikkerhedsbekendtgørelsen. Det gælder følgende punkter:
a) Mangelfuld tilrettelæggelse af autorisationer og adgangskontrol ved, at en gæstebrugerkonto kunne anvendes af alle på Vestbo uden indtastning af adgangskode, at oplysninger om kontoen tillige blev gjort tilgængelig på internettet, og at der efter det oplyste er anvendt én fællesbruger pr. institution med fælles password. Middelfart Kommune har herved ikke levet op til sikkerhedsbekendtgørelsens §§ 11 og 12. Datatilsynet henstiller desuden, at Middelfart Kommune indretter sin behandling af følsomme personoplysninger på dette område således, at der ikke er mulighed for at logge ind via internettet kun med brugernavn og adgangskode.
b) Manglende halvårlig kontrol af autorisationer. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 17, stk. 2.
c) Manglende opfølgning på afviste adgangsforsøg. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 18.
d) Manglende logning. Middelfart Kommune har ikke levet op til sikkerhedsbekendtgørelsens § 19.
2. Manglende kontrol med databehandlere. Middelfart Kommune har ikke efterlevet persondatalovens § 42, stk. 1.
3. Manglende skriftlige databehandleraftaler med de anvendte databehandlere. Middelfart Kommune har ikke efterlevet persondatalovens § 42, stk. 2.
Der er efter Datatilsynets opfattelse tale om meget omfattende mangler i Middelfart Kommunes efterlevelse af persondataloven og sikkerhedsbekendtgørelsen i forhold til et it-system med følsomme personoplysninger. Datatilsynet finder på den baggrund, at der er tale om særdeles kritisable overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.
Datatilsynet har ved brev af dags dato underrettet byrådet i Middelfart Kommune om de konstaterede overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.
Middelfart Kommune har i lyset af den skete sikkerhedshændelse udarbejdet et notat af 3. november 2015 med forslag til yderligere tiltag i relation til kommunens it-sikkerhed.
Datatilsynet skal anmode om at få oplyst, om de i notatet beskrevne forslag er gennemført, om ISAP-systemet permanent er taget ud af brug i kommunen, samt om der vil blive taget yderligere initiativer med henblik på at sikre, at persondataloven og sikkerhedsbekendtgørelsen efterleves i Middelfart Kommune. Middelfart Kommune bedes redegøre herfor senest mandag den 2. maj 2016.
5. Afsluttende bemærkninger
Da det er oplyst, at ISAP-systemet anvendes i en række kommuner, vil Datatilsynet sende en kopi af denne udtalelse til KL med anmodning om, at organisationen bistår med at gøre kommunerne bekendt med de problemer med løsningen, der er konstateret i denne sag.
Datatilsynet forventer endvidere at offentliggøre udtalelsen på sin hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.