KØBENHAVN: Datatilsynet har udtalt alvorlig kritik i en sag fra sommeren 2021, hvor omkring 37.500 medarbejdere fik uberettiget adgang til oplysninger om op mod 3,7 mio. personer - herunder følsomme oplysninger om børn, oplyser tilsynet.
Det var i forbindelse med flytning af filer med en større mængde data, at der som følge af en menneskelig fejl blev givet for bred brugeradgang til det drev, hvor data blev opbevaret. Kun fire dataudviklere skulle have haft adgang til dataene.
For størstedelen af de berørte borgeres vedkommende var der bl.a. tale om navne- og adresseoplysninger, men der var også filer med oplysninger om trivsel, sprogvurdering og oplysninger om tandlæge og sundhedspleje vedrørende børn.
Fejlen med den brede adgang til oplysningerne blev først konstateret efter næsten to måneder ved en sikkerhedsmæssig rutinescanning af kommunens åbne drev. Adgangen blev herefter lukket, og hændelsen blev meldt til Datatilsynet.
Forkert set-up
Kommunen bemærkede ved indberetningen, at medarbejdere ikke ved almindelige søgninger på en pc kunne finde drevet, fordi netværksregistrering var slået fra. Der var derfor meget lidt sandsynlighed for, at en almindelig it-bruger ville støde på drevet. Kommunens efterfølgende undersøgelse viste, at der ikke havde været anvendt scanningsværktøj i søgninger efter det åbne drev.
Alligevel fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at kommunens behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 32 stk. 1 om behandlingssikkerhed.
Tilsynet lagde også vægt på, at kommunen ikke havde sikret, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet, men at der var et setup, hvor en enkelt medarbejders fejl kunne resultere i et brud, der omfattede 3,7 mio. borgere.
Umiddelbart efter flytningen af filerne burde det også være blevet testet, om rettighederne til drevet var korrekte - det ville straks have afsløret fejlen, påpeger Datatilsynet.
Se selve afgørelsen her.
cwa
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Socials artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Socials artikler med personer, der ikke selv har et personligt abonnement på DK Social
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
