1. Datatilsynet vender hermed tilbage til sagen, hvor tilsynet ved brev af 7. september 2015 anmodede Styrelsen for It og Læring (herefter ’STIL’) om en udtalelse i forbindelse med, at klager K [navn og adresse udeladt] ved e-mails af 13. og 20. august 2015 har klaget til Datatilsynet over sikkerheden i løsningen EASY-P, som efter det oplyste er et administrationssystem til praktikdelen af erhvervsskolerne.
Efter anmodning fra Datatilsynet er STIL kommet med udtalelser i sagen. K har haft lejlighed til at kommentere disse.
2. Datatilsynet må lægge til grund:
- at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt ”Værktøjssiden”, blot man havde adgang fra K’s uddannelsesinstitutions åbne trådløse netværk – dette kan bl.a. tilgås udenfor skolen på kommunale stier,
- at det endvidere var muligt at tilgå størstedelen af funktionaliteten i EASY-P blot ved at fjerne ”secure” fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,
- at der bl.a. indgik et menupunkt benævnt ”CPR-Søgning”, som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt
- at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.
Det af STIL anførte om, at der ikke var adgang fra det åbne internet, og at K – efter styrelsens opfattelse – foretog en uautoriseret handling, ændrer efter Datatilsynets opfattelse ikke på, at sikkerheden i løsningen var utilstrækkelig.
Det er således Datatilsynets opfattelse, at STIL’s behandling af personoplysninger i EASY-P ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3. Datatilsynet finder dette kritisabelt.
3. STIL har i sagen beskrevet forskellige skridt, som styrelsen har foretaget i forhold til sikkerheden omkring EASY-P.
Datatilsynet skal opfordre STIL til også at undersøge – i det omfang det ikke allerede er sket – om det ved hjælp af logfiler er muligt at afdække, om sikkerhedsbristen har været udnyttet til uvedkommende adgang til personoplysninger i EASY-P eller CPR, såfremt CPR-opslag via løsningen sker direkte i CPR.
Efter Datatilsynets umiddelbare vurdering må der endvidere tages initiativer til at indrette løsningen således, at der ikke er adgang til at foretage CPR-opslag på personer, der ikke går på erhvervsskolerne.
Datatilsynet har i øvrigt noteret sig, at EASY-systemet lukkes i sommeren 2018.
4. Datatilsynet skal anmode om en tilbagemelding fra STIL på den undersøgelse og de initiativer, som tilsynet har omtalt under punkt 3. Styrelsens svar bedes være tilsynet i hænde senest den 19. maj 2017.
Datatilsynet beklager den samlet set lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre denne afgørelse på sin hjemmeside. Det vil ske uden angivelse af K’s navn.
_____________________________
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.