Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Brud på persondatalovens sikkerhedskrav hos offentlige myndigheder

Tilsynet har til brug for besvarelsen af en forespørgsel udformet en generel oversigt med eksempler på de brud på persondatalovens og sikkerhedsbekendtgørelsens sikkerhedskrav hos offentlige myndigheder, som har været fremme i Datatilsynets sager.

Spørgsmål om datasikkerhed indgår i forskellige typer af sager i Datatilsynet. Det kan være i sager om forespørgsler, i klagesager eller i sager på tilsynets eget initiativ – herunder inspektioner og sager taget op som følge af konkrete hændelser.

Datatilsynet har ikke statistikker over forekomsten af de forskellige fejl. At en fejl er medtaget, er alene udtryk for, at den mindst en gang er set i en sag hos Datatilsynet. Selv om oversigten således bygger på et spinkelt materiale, er det tilsynets vurdering, at den kan være til inspiration for dem, der sidder med it-sikkerhed i det offentlige.  Tilsynet har derfor valgt at offentliggøre oversigten.

De brud på sikkerhedskravene hos offentlige myndigheder, som har været fremme i Datatilsynets sager, kan overordnet beskrives i tre kategorier:

Organisatoriske fejl

  • Manglende, utilstrækkelige eller ikke ajourførte uddybende sikkerhedsregler, f.eks.
    - manglende retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter
    - utilstrækkelig beskrivelse af procedurerne for administration af adgangskontrol- og autorisationsordninger samt kontrollen med autorisationer.
  • Utilstrækkelige eller manglende databehandleraftaler og/eller manglende kendskab til underdatabehandlere.
  • Manglende kontrol med sikkerhedsforanstaltninger truffet hos databehandlere.
  • Meget åben adgang til oplysninger i ESDH-systemer, hvorved medarbejdere har adgang til bl.a. følsomme personoplysninger, som de ikke har behov for i deres arbejde.
  • Manglende halvårlig kontrol af medarbejderes autorisationer.
  • Brug af anonyme bruger-id’er (testbrugere eller fællesbrugere), hvorved tilgang og anvendelse af personoplysninger ikke kan spores til én fysisk person.
  • Manglende stikprøvekontrol af log (i borgerservice).

Menneskelige fejl

  • Offentliggørelse af fortrolige eller følsomme oplysninger på internettet som følge af fejl eller uvidenhed om, hvad der må offentliggøres, eller som følge af utilstrækkelig anonymisering mv.
  • Fejl eller uvidenhed i forbindelse med udsendelse af e-mails, f.eks. at der sendes til forkert adresse, at fortrolige eller følsomme personoplysninger sendes i ukrypteret e-mail via internettet, eller at flere modtagere af en e-mail angives i modtagerfeltet (i en situation, hvor de ikke bør kende hinandens oplysninger).
  • Uvedkommende dokumenter bliver blandet ind i en sag f.eks. i forbindelse med udskrivning og/eller afsendelse (ses både ved elektronisk og manuel post).

Utilstrækkelige eller fejlbehæftede it-løsninger

  • Manglende kryptering af formularer på hjemmesider til brug for fremsendelse af fortrolige eller følsomme oplysninger.
  • Utilstrækkelig adgangsløsning i forbindelse med adgang via internettet til at se eller indtaste bl.a. følsomme oplysninger.
  • Adgang til for brugeren uvedkommende oplysninger som følge af fejl i it-systemet.
  • Manglende kontrol med afviste adgangsforsøg.
  • Manglende logning eller problemer med, om de loggede oplysninger kan anvendes til at spore, hvilke oplysninger en medarbejder har tilgået.

Datatilsynet kan i øvrigt henvise til, at der på tilsynets hjemmeside er offentliggjort en række udtalelser, som bl.a. omhandler brud på persondatalovens og sikkerhedsbekendtgørelsens regler om datasikkerhed.