Tre politikredse får kritik for manglende behandlingssikkerhed

Dato: 10-06-2024

Datatilsynet har afsluttet tilsyn med tre udvalgte politikredses brugerstyring og kontrol med brugernes anvendelse (”logkontrol”) af politiets sagsstyringssystem POLSAS. Datatilsynet fandt i alle tre tilfælde anledning til at udtale kritik pga. utilstrækkelig logkontrol.

I 2021 indledte Datatilsynet skriftlige tilsyn med henholdsvis Nordjyllands Politi, Fyns Politi og Bornholms Politis brugerstyring og logkontrol af politiets sagsstyringssystem POLSAS, idet der behandles store mængder af personoplysninger i systemet, herunder oplysninger om strafbare forhold.

Valget af de tre politikredse skyldes, at de varierer i størrelsen, og at de er udtryk for en geografisk spredning.

Politikredsenes oplysninger om brugerstyring i POLSAS – dvs. administration af adgangsrettigheder, herunder hvordan adgangsrettigheder tildeles og afmeldes – gav ikke Datatilsynet anledning til bemærkninger.

Kritik af utilstrækkelig logkontrol

Datatilsynet fandt imidlertid anledning til at udtale kritik af, at politikredsenes logkontrol ikke var i overensstemmelse med reglerne om behandlingssikkerhed, idet de ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. ved stikprøvekontrol) for at sikre, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for at behandle. Politikredsene kontrollerede kun loggen ved konkret mistanke om misbrug.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne grundlag for, hvordan og hvor ofte denne kontrol skal udføres. Det er dog tilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer.

Dataansvarlige kan endvidere overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver.

Logkontrol har umiddelbart en korrigerende funktion, men et andet væsentligt formål med implementering af logkontrol er, at det kan have en forebyggende effekt. Orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan derfor være et effektivt middel til at reducere risikoen for misbrug af ellers legitime adgangsrettigheder.

Forebyggelse af misbrug af adgangsrettigheder bør efter Datatilsynets opfattelse ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring samt logning og løbende kontrol af brugernes opslag i systemer, hvori der behandles personoplysninger. Derudover skal den dataansvarlige sikre en effektiv håndhævelse af reglerne.

Datatilsynet lagde i vurderingen af sagerne vægt på, at der i POLSAS både behandles almindelige, følsomme og andre beskyttelsesværdige personoplysninger, og at reelt alle medarbejdere i politikredsene har adgang til POLSAS – og som udgangspunkt også adgang til alle sager og oplysninger i systemet.

Datatilsynet bemærkede i øvrigt i anledning af tilsynet, at:

  • arbejdsgivere skal overholde de databeskyttelsesretlige regler om oplysningspligt ved iværksættelse af kontrolforanstaltninger som f.eks. logkontrol. Det indebærer, at medarbejderne klart og utvetydigt skal informeres om, at registreringen og kontrollen foretages.
  • når der er tale om fælles dataansvar mellem to eller flere parter, er det vigtigt at udarbejde en aftale, der tydeligt fastlægger deres respektive ansvar for overholdelse af de forskellige pligter, der pålægges en dataansvarlig efter databeskyttelsesforordningen. To af politikredsene gav udtryk for, at den manglende gennemførelse af stikprøvekontrol skyldtes en misforståelse af, at en sådan kontrol blev udført af Rigspolitiet. 

Datatilsynet har orienteret Rigspolitiet om tilsynene og har i den forbindelse bemærket, at tilsynet forudsætter, at det sikres, at der også implementeres behørig logkontrol hos de øvrige politikredse, hvis ikke det allerede er sket.

Vil du vide mere?

Læs afgørelsen for Fyns Politi her.

Læs afgørelsen for Bornholms Politi her.

Læs afgørelsen for Nordjyllands Politi her.

Læs også:

Kan snageri forebygges? Og hvordan?

Styr på rettighedsstyring - Datatilsynets vejledning om adgangsrettigheder.

Datatilsynets foranstaltningskatalog

Læs også om stikprøver i log over brugernes anvendelser af personoplysninger og en række andre relevante sikkerhedsforanstaltninger i forbindelse med rettighedsstyring i Datatilsynets katalog over sikkerhedsforanstaltninger.