U

Viden

Nyheder

Specialerhidden

Mennesker

Arrangementer

Om os

Karriere

17.04.2023 | Databeskyttelse

Skrevet af

Elsebeth Aaes-Jørgensen
Partner LLM

Adgang forbudt for uvedkommende

Datatilsynet har udtalt kritik af et universitet, fordi det i en ukendt periode havde været muligt for uvedkommende at tilgå personoplysninger om universitets medarbejdere gennem et af universitetets IT-systemer

 

Efter de databeskyttelsesretlige regler skal en dataansvarlig sørge for et sikkerhedsniveau, der imødegår mulige risici forbundet med behandlingen af personoplysninger, ved at indføre passende tekniske og organisatoriske foranstaltninger. I denne sag skulle Datatilsynet vurdere, om et universitet havde levet op til den forpligtelse.

I sagen havde et universitet i sommeren 2022 opdaget, at et af deres IT-systemer ikke havde den nødvendige adgangsbegrænsning. I en ukendt periode havde det derfor været muligt for alle med en brugerprofil at tilgå personoplysninger om universitetets medarbejdere.

Universitetet oplyste, at den manglende adgangsbegrænsning højst sandsynligt skyldtes en menneskelig fejl i forbindelse med, at universitetet i sommeren 2020 havde gennemført tekniske ændringer i systemet uden efterfølgende at teste, om adgangsbegrænsningerne i systemet stadig var intakte. Dette var i strid med universitets egne retningslinjer.

Da universitetet blev opmærksom på, at uvedkommende kunne tilgå personoplysninger i systemet, blev der atter etableret adgangsbegrænsninger, så det kun var autoriserede medarbejdere, som havde adgang dertil.

Kritik af universitetet
Datatilsynet fandt, at universitetet som følge af den manglende adgangsbegrænsning ikke havde etableret tilstrækkelige organisatoriske og tekniske sikkerhedsforanstaltninger til at sikre et passende sikkerhedsniveau.

I den forbindelse bemærkede Datatilsynet, at kravet om passende sikkerhedsforanstaltninger indebærer, at når der gennemføres ændringer i et system, der behandler personoplysninger, bør det ske efter en bestemt procedure, som sikrer, at potentielle konsekvenser af ændringen overvejes. I forlængelse heraf bør der efter gennemførte ændringer i et sådant system planlægges test, som påser, at sikkerhedskravene til systemet fortsat er opfyldt.

Datatilsynet valgte på baggrund heraf at udtale kritik af universitetets behandling af personoplysninger og tillagde det vægt, at der ikke var foretaget test efter ændringer i systemet, at det i en længere og ukendt periode havde været muligt for uvedkommende at tilgå personoplysninger om universitets medarbejdere, og at der i forlængelse heraf ikke havde været foretaget en løbende kontrol af brugeradgangene.

Norrbom Vinding bemærker

  • at afgørelsen illustrerer, at kravet om, at den dataansvarlige skal sikre et passende sikkerhedsniveau, indebærer, at den dataansvarlige efter ændringer i systemer løbende fører kontrol med brugeradgange, og
  • det bl.a. indgår i Datatilsynets vurdering, hvor lang tid personoplysningerne har været tilgængelige for uautoriserede.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.