Datatilsynet var på tilsynsbesøg hos Kerteminde Kommune i efteråret 2023. Tilsynet fokuserede på logning og logauditering, interne procedurer for håndtering, anmeldelse og registrering af brud på persondatasikkerheden, herunder brug af auto-complete, test af backup, test af beredskaber m.v., procedurer for sletning samt konsekvensanalyser.
Datatilsynet konkluderede i sagen, at Kerteminde Kommune ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. stikprøvekontrol) for at sikre, at kommunens brugere kun tilgik oplysninger, de havde et arbejdsbetinget behov for. Kommunen foretog kun kontrol af loggen ved konkret mistanke om misbrug.
Som følge heraf har Datatilsynet udtalt kritik af, at Kerteminde Kommune ikke havde truffet passende sikkerhedsforanstaltninger.
I forhold til de øvrige områder bemærkede Datatilsynet, at Kerteminde Kommune bør fortsætte med at udarbejde politikker og procedurer for sletning i løst tilknyttede systemer og i fagsystemer. Derudover påpegede Datatilsynet, at kommunen fortsat skal afdække, hvilke behandlingsaktiviteter der kræver konsekvensanalyser, og at der i den forbindelse udarbejdes en plan for gennemførslen af disse analyser.
Vil du vide mere?
Læs hele afgørelsen her.
Læs mere om bl.a. stikprøver i log over brugernes anvendelser af personoplysninger, logning af brugernes anvendelser af personoplysninger, awareness og backup i Datatilsynets katalog over sikkerhedsforanstaltninger.
Læs også om rettighedsstyring i Datatilsynets vejledning om adgangsrettigheder, og på tilsynets hjemmeside om: Hvordan registermisbrug kan forebygges, procedurer mv. for sletning af personoplysninger, konsekvensanalyser og håndtering af brud på persondatasikkerheden.