Datatilsynet gennemførte et tilsynsbesøg hos Brøndby Kommune i efteråret 2023. Tilsynet havde fokus på to centrale temaer: Den periodiske kontrol med adgangsrettigheder og brugen af flerfaktorautentifikation/Multi-Factor Authentication (MFA) ved adgang direkte fra internettet til kommunens it-systemer. Temaerne blev valgt på baggrund af bl.a. Datatilsynets anbefalinger til Brøndby Kommune i forbindelse med de skriftlige tilsyn i 2021 og 2022, hvor der blev set nærmere på kommunens modenhed på databeskyttelsesområdet (modenhedstilsyn).
Datatilsynet har konkluderet i sagen, at Brøndby Kommune ikke havde foretaget løbende dokumenteret kontrol af almindelige brugeres adgange til KMD Nexus (dvs. brugere der ikke har udvidede rettigheder/administratorrettigheder), da kommunens seneste kontroller forud for tilsynsbesøget var foretaget i januar 2020 og marts 2021.
Derudover havde Brøndby Kommune ikke implementeret MFA ved adgang til KMD Nexus, SAPA eller Momentum direkte fra internettet frem til den 15. november 2023. MFA blev først implementeret efter, at Datatilsynet havde varslet tilsynet over for Brøndby Kommune, og fem år efter at kommunen i en risikovurdering af KMD Nexus havde vurderet, at manglende MFA ved login direkte fra internettet udgjorde en sårbarhed.
På den baggrund har Datatilsynet udtalt alvorlig kritik af, at Brøndby Kommune ikke havde truffet passende sikkerhedsforanstaltninger.
Vil du vide mere?
Læs hele afgørelsen her.
Læs mere om MFA og periodisk kontrol af adgangsrettigheders aktualitet i Datatilsynets katalog over sikkerhedsforanstaltninger.