Ny afgørelse

Kritik af Hovedstadens Beredskabs mangelfulde rettighedsstyring

Dato: 24-05-2023

Datatilsynet har truffet afgørelse i en sag, hvor alle brugere af Hovedstadens Beredskabs ESDH-system har haft adgang til kontaktoplysninger, herunder personnumre og beskyttede adresser, om tidligere og nuværende medarbejdere.

Hovedstadens Beredskab I/S anmeldte i november 2022 et brud på persondatasikkerheden til Datatilsynet, da de selv havde konstateret, at alle brugere af deres ESDH-system siden systemet blev taget i brug i maj 2022 havde haft adgang til nuværende og tidligere medarbejderes fulde navne, personnumre og adresser, herunder beskyttede adresser.

Hovedstadens Beredskab oplyste, at kontaktoplysningerne anvendes i forbindelse med journalisering af personalesager. Adgangen til de pågældende oplysninger burde ifølge Hovedstadens Beredskab have været differentieret således, at de kunne udpege, hvilke medarbejdere der har et arbejdsbetinget behov for at arbejde med oplysningerne, og således at det alene var disse medarbejdere, der blev tildelt adgang til dem. Hovedstadens Beredskab og deres leverandør havde imidlertid ikke været opmærksomme på den manglende mulighed for at differentiere i adgangsrettigheder til de pågældende oplysninger.

Ved sin afgørelse om at udtale kritik har Datatilsynet særligt lagt vægt på, at alle brugere af ESDH-systemet, siden systemet blev taget i brug, har haft adgang til kontaktoplysninger, som også indeholdt fortrolige oplysninger om beskyttede adresser og personnumre, om 2.029 nuværende og tidligere medarbejdere, selvom det kun var medarbejdere i Hovedstadens Beredskabs HR-afdeling, der havde behov for en sådan adgang.

Vil du vide mere?

Læs afgørelsen her.

Læs mere om behandlingssikkerhed i vejledningen om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her.

Hvorfor er rettighedsstyring vigtigt?

Effektiv rettighedsstyring er afgørende for informationssikkerheden i din organisation. Ligesom du holder styr på, hvem der har nøgle til dit hjem, og hvem der skal have nøglen til dit arkivskab, skal du holde styr på, hvem der har adgang til dine systemer og til hvilke oplysninger – og du skal sikre, at de ved, hvordan oplysningerne skal behandles.

Det er vigtigt for persondatasikkerheden, for medarbejdere, kunder og for borgere, og så er det også med til at beskytte din forretning.

Databeskyttelsesforordningen (GDPR) indeholder regler om behandlingssikkerhed samt om databeskyttelse gennem design og standardindstillinger. Disse regler benytter en risikobaseret tilgang til sikkerhed, hvor et passende sikkerhedsniveau etableres ved hjælp af ”passende tekniske og organisatoriske foranstaltninger”.

Styring af brugeres adgange til data er en så basal del af informationssikkerhed – og dermed også behandlingssikkerhed inden for databeskyttelse – at det kan læses direkte ud af principperne i databeskyttelsesforordningens artikel 5, stk. 1, litra f.