Ny afgørelse: Kolding Kommune havde ikke truffet passende tekniske og organisatoriske foranstaltninger

Dato: 22-04-2020

Datatilsynet udtaler alvorlig kritik af Kolding Kommune, da manglende kontrolforanstaltninger og medarbejdernes adgang til personoplysninger ikke udgjorde passende tekniske og organisatoriske foranstaltninger.

Datatilsynet har behandlet en sag, hvor Kolding Kommune siden 2012 har behandlet dokumenter indeholdende personoplysninger i omkring 400.000 sager uden at træffe passende tekniske og organisatoriske foranstaltninger. Tilsynet udtaler derfor alvorlig kritik af Kolding Kommunens behandling af personoplysninger.

Kolding Kommune har benyttet et ESDH-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret herom. Dokumenterne, der under normale forhold alene kunne tilgås gennem ESDH-systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, såfremt man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev i øvrigt ikke logget.

Kolding Kommune har fået foretaget årlige revisioner af et udvalg af de benyttede it-systemer. Af revisionsberetningerne fremgår, at kommunens overordnede styring af it-sikkerheden inden for regnskabsområdet er tilfredsstillende. Revisionerne omfattede ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger for opbevaring af dokumenter og integritet af netværksinfrastrukturen eller procedurerne for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af sådanne foranstaltninger.

De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var ikke opsat anden kontrol heraf. Set i lyset dette og henset til den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne, var der ikke truffet passende tekniske og organisatoriske foranstaltninger.

Vil du vide mere?

Du kan læse selve afgørelsen her

Du kan også læse mere om forskellige emner inden for persondatasikkerhed.