Utilstrækkelig sikkerhed i løsningen EASY-P

Publiceret 24-04-2017
Historisk afgørelse Private virksomheder

1. Datatilsynet vender hermed tilbage til sagen, hvor tilsynet ved brev af 7. september 2015 anmodede Styrelsen for It og Læring (herefter ’STIL’) om en udtalelse i forbindelse med, at klager K [navn og adresse udeladt] ved e-mails af 13. og 20. august 2015 har klaget til Datatilsynet over sikkerheden i løsningen EASY-P, som efter det oplyste er et administrationssystem til praktikdelen af erhvervsskolerne.

Efter anmodning fra Datatilsynet er STIL kommet med udtalelser i sagen. K har haft lejlighed til at kommentere disse.

2. Datatilsynet må lægge til grund:

  • at det har været muligt at tilgå oplysninger om personnumre på en side i EASY-P benævnt ”Værktøjssiden”, blot man havde adgang fra K’s uddannelsesinstitutions åbne trådløse netværk – dette kan bl.a. tilgås udenfor skolen på kommunale stier,
  • at det endvidere var muligt at tilgå størstedelen af funktionaliteten i EASY-P blot ved at fjerne ”secure” fra adressestien på en side for brugergodkendelse, hvorefter der var adgang til systemet,
  • at der bl.a. indgik et menupunkt benævnt ”CPR-Søgning”, som tillod indtastning af et givent personnummer, hvorefter man som svar fik personens navn, samt
  • at CPR-søgningen ikke var begrænset til elever på erhvervsskoler.

Det af STIL anførte om, at der ikke var adgang fra det åbne internet, og at K – efter styrelsens opfattelse – foretog en uautoriseret handling, ændrer efter Datatilsynets opfattelse ikke på, at sikkerheden i løsningen var utilstrækkelig.

Det er således Datatilsynets opfattelse, at STIL’s behandling af personoplysninger i EASY-P ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3. Datatilsynet finder dette kritisabelt.

3. STIL har i sagen beskrevet forskellige skridt, som styrelsen har foretaget i forhold til sikkerheden omkring EASY-P.

Datatilsynet skal opfordre STIL til også at undersøge – i det omfang det ikke allerede er sket – om det ved hjælp af logfiler er muligt at afdække, om sikkerhedsbristen har været udnyttet til uvedkommende adgang til personoplysninger i EASY-P eller CPR, såfremt CPR-opslag via løsningen sker direkte i CPR.

Efter Datatilsynets umiddelbare vurdering må der endvidere tages initiativer til at indrette løsningen således, at der ikke er adgang til at foretage CPR-opslag på personer, der ikke går på erhvervsskolerne.

Datatilsynet har i øvrigt noteret sig, at EASY-systemet lukkes i sommeren 2018.

4. Datatilsynet skal anmode om en tilbagemelding fra STIL på den undersøgelse og de initiativer, som tilsynet har omtalt under punkt 3. Styrelsens svar bedes være tilsynet i hænde senest den 19. maj 2017.

Datatilsynet beklager den samlet set lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.

Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre denne afgørelse på sin hjemmeside. Det vil ske uden angivelse af K’s navn.

 

_____________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.