I forbindelse med flytning af filer med en større mængde data (diskswap) blev der som følge af en menneskelig fejl givet for brede brugeradgange til det drev, hvor data blev opbevaret. Det resulterede i, at ca. 37.500 medarbejdere i kommunen uberettiget fik adgang til oplysninger om op mod 3,7 millioner personer. Dataene relaterede sig til en såkaldt SAS-installation (format til ledelsesinformation mv.), og det var alene fire SAS datawarehouse-udviklere, der skulle have haft adgang til dataene. For størstedelen af de berørte var der bl.a. tale om navne- og adresseoplysninger, men derudover indeholdt filerne også oplysninger om trivsel, sprogvurdering og oplysninger om tandlæge og sundhedspleje vedrørende børn.
Den brede adgang eksisterede i knap to måneder, indtil Københavns Kommune konstaterede fejlen ved en sikkerhedsmæssig rutinescanning af kommunens åbne drev. Adgangen blev herefter lukket, og hændelsen blev anmeldt til Datatilsynet som et brud på persondatasikkerheden.
Kommunen bemærkede i forbindelse med sagen, at det dog var vurderingen, at der var en meget lille sandsynlighed for, at en almindelig it-bruger skulle støde på drevet, da det krævede særlige forudsætninger at finde det. Netværksregistrering var således slået fra på de enkelte pc’er, og det betød, at medarbejderne ikke ved almindelige søgninger på pc’en kunne finde drevet. Det betød også at URL’en skulle kendes, eller at der skulle scannes aktivt efter drevet. Kommunens undersøgelser viste, at der ikke havde været anvendt et scanningsværktøj, der havde ledt efter åbne drev i perioden for bruddet. Undersøgelse af den administrative log viste endvidere kun adgange for personer med et arbejdsbetinget behov. Kommunens logs over alle administrative it-brugeres potentielle adgang til drevet gik dog ikke så langt tilbage i tiden, at kommunen endegyldigt kunne konkludere, at ingen andre medarbejdere end dem, der havde et arbejdsbetinget behov, havde tilgået oplysningerne i perioden. Kommunen anførte også, at hovedparten af SAS-filer ikke umiddelbart var læselige for dem, der uberettiget havde fået adgang hertil, og at det krævede, at data først blev bearbejdet i et SAS-program.
Alvorlig kritik af manglende sikkerhedsforanstaltninger
Efter en samlet vurdering af sagens omstændigheder, herunder den tid der er gået siden hændelsen, fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at Københavns Kommunes behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, om behandlingssikkerhed. Datatilsynet fandt således ikke, at kommunen havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger.
Datatilsynet lagde herved vægt på, at kommunen ikke havde sikret, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet, at der var et set-up, hvor en enkelt medarbejders fejl kunne resultere i et brud, der omfattede 3,7 mio. personer, og at det ikke umiddelbart efter flytningen af oplysningerne var blevet testet, om rettighederne til drevet var korrekte, hvilket straks ville have afsløret fejlen, da alle administrative medarbejdere havde fået adgang hertil.
Datatilsynet har generelt den opfattelse, at der ved nyudvikling af applikationer eller flytning af fildrev, indledningsvist skal vurderes, om det fremadrettet er nødvendigt, at flytte og opbevare oplysningerne i personhenførbar form. Såfremt det er nødvendigt for formålet ved behandlingen, kan en mulig sikkerhedsforanstaltning være, at den dataansvarlige sikrer, at oplysningerne er krypteret sådan, at kun en adgangsberettiget person kan læse og låse op for oplysningerne. Et proprietært dataformat (som f.eks. et SAS-format) kan ikke sidestilles med kryptering, da der ofte findes viewere eller plugins, der gør det relativt let at kunne læse de pågældende fil-formater.
Ved alle udviklings- og vedligeholdelsesopgaver er det endvidere væsentligt, at der som et led i changeprocessen stilles krav om, at dem, der er bemyndiget hertil af den dataansvarlige, kontrollerer, at den tilsigtede adgangsstyring, kontrol og logning virker, inden ændringen frigives til drift.
Datatilsynet noterede sig i øvrigt i afgørelsen, at kommunen foretog periodiske (kvartalsvise) netværksscanningerne efter fællesdrev med korrekte rettigheder, og at kommunen oplyste at ville iværksætte en række foranstaltninger for at undgå, at en lignende situation opstår igen. Datatilsynet bemærkede dog samtidig, at Københavns Kommune efterfølgende ses at have anmeldt flere brud på persondatasikkerheden, som består i, at medarbejdere har fået adgang til personoplysninger, som de ikke har et arbejdsbetinget behov for at kunne tilgå, og at tilsynet derfor forudsætter, at der hos Københavns Kommune fortsat og løbende er fokus på at sikre, at der er implementeret passende sikkerhedsforanstaltninger for at nedbringe risikoen for sådanne brud og for at sikre, at eventuelle brud opdages hurtigt.
Vil du vide mere?
Læs selve afgørelsen her.
Læs Datatilsynets vejledning om adgangsrettigheder her.
Læs også om en række relevante sikkerhedsforanstaltninger i forbindelse med rettigheds- og ændringsstyring i Datatilsynets katalog over sikkerhedsforanstaltninger her.