Datatilsynet har truffet afgørelse i tre sager om brud på persondatasikkerheden. Fælles for sagerne er, at der – grundet manglende basale kontroller – enten er blevet videregivet for mange oplysninger til modtagere, eller blevet givet adgang til oplysninger vedrørende for mange borgere.
I to af tilfældene er der tale om beskæftigelsesrelaterede oplysninger om hhv. ca. 1,5 mio. borgere og op mod 4,2 mio. borgere. Her har Datatilsynet udtalt hhv. kritik og alvorlig kritik af de virksomheder, der var databehandler for kommunerne.
I det sidste tilfælde er der tale om utilsigtet videregivelse af navn, adresse og personnummer, når en person udfyldte en kommunes digitale ansøgning om tillæg eller enkeltydelse på vegne af en anden borger.
Sidstnævnte hændelse er et eksempel på et tilfælde, hvor den dataansvarlige kommune ikke har foretaget den mest basale kontrol af, hvilke oplysninger, der blev videregivet, når et it-system blev sat i drift. Ligeledes har databehandlerne i de førnævnte tilfælde ikke foretaget basale kontroller af de videregivne oplysninger og de oplysninger, der er givet adgang til, efter systemet er ændret efter en opdatering.
Det er Datatilsynets opfattelse, at it-systemer regelmæssigt skal kontrolles, så
- det sikres, at systemet ikke videregiver flere oplysninger end nødvendigt til rette modtagere
- det sikres, at systemet ikke videregiver oplysninger til de forkerte modtagere
- det sikres, at adgangskontrollen på systemet fungerer hensigtsmæssigt, herunder, at brugere har adgang til præcis de oplysninger, de burde have adgang til
Det er navnlig vigtigt, at disse kontroller udføres inden systemet sættes i drift første gang, samt efter en ændring i systemet er blevet foretaget, fx i forbindelse med en opdatering.
Læs mere
Afgørelse i sagen om sikkerhedsbrud i systemet FLIS
Afgørelse i sagen om sikkerhedshul i Schultz Expose
Afgørelse i sagen om sikkerhedsbrud i Odense Kommune
Læs mere om persondatasikkerhed