Hovedstadens Beredskab I/S anmeldte i november 2022 et brud på persondatasikkerheden til Datatilsynet, da de selv havde konstateret, at alle brugere af deres ESDH-system siden systemet blev taget i brug i maj 2022 havde haft adgang til nuværende og tidligere medarbejderes fulde navne, personnumre og adresser, herunder beskyttede adresser.
Hovedstadens Beredskab oplyste, at kontaktoplysningerne anvendes i forbindelse med journalisering af personalesager. Adgangen til de pågældende oplysninger burde ifølge Hovedstadens Beredskab have været differentieret således, at de kunne udpege, hvilke medarbejdere der har et arbejdsbetinget behov for at arbejde med oplysningerne, og således at det alene var disse medarbejdere, der blev tildelt adgang til dem. Hovedstadens Beredskab og deres leverandør havde imidlertid ikke været opmærksomme på den manglende mulighed for at differentiere i adgangsrettigheder til de pågældende oplysninger.
Ved sin afgørelse om at udtale kritik har Datatilsynet særligt lagt vægt på, at alle brugere af ESDH-systemet, siden systemet blev taget i brug, har haft adgang til kontaktoplysninger, som også indeholdt fortrolige oplysninger om beskyttede adresser og personnumre, om 2.029 nuværende og tidligere medarbejdere, selvom det kun var medarbejdere i Hovedstadens Beredskabs HR-afdeling, der havde behov for en sådan adgang.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om behandlingssikkerhed i vejledningen om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her.