Knowledge
News
Practice areas
People
Events
About us
Careers
U
Knowledge
News
Practice areas
People
Events
About us
Careers
Søg
About us
Careers
Contact
Knowledge
News
Events
Rss
Practice areas
Employment law
Public sector labour and employment law
Labour law
Discrimination
Litigation
Legal investigations and inquiries
Bonus & incentives
Post-termination restrictions
Pensions
Tax & social security
Data protection
International work
Criminal law
Sitemap
Menu
U

Knowledge

News

Practice areas

People

Events

About us

Careers

News

17.04.2023 | Data protection

LinkedInPrint

Written by

Elsebeth Aaes-Jørgensen
Partner LLM

Adgang forbudt for uvedkommende

Datatilsynet har udtalt kritik af et universitet, fordi det i en ukendt periode havde været muligt for uvedkommende at tilgå personoplysninger om universitets medarbejdere gennem et af universitetets IT-systemer

 

Efter de databeskyttelsesretlige regler skal en dataansvarlig sørge for et sikkerhedsniveau, der imødegår mulige risici forbundet med behandlingen af personoplysninger, ved at indføre passende tekniske og organisatoriske foranstaltninger. I denne sag skulle Datatilsynet vurdere, om et universitet havde levet op til den forpligtelse.

I sagen havde et universitet i sommeren 2022 opdaget, at et af deres IT-systemer ikke havde den nødvendige adgangsbegrænsning. I en ukendt periode havde det derfor været muligt for alle med en brugerprofil at tilgå personoplysninger om universitetets medarbejdere.

Universitetet oplyste, at den manglende adgangsbegrænsning højst sandsynligt skyldtes en menneskelig fejl i forbindelse med, at universitetet i sommeren 2020 havde gennemført tekniske ændringer i systemet uden efterfølgende at teste, om adgangsbegrænsningerne i systemet stadig var intakte. Dette var i strid med universitets egne retningslinjer.

Da universitetet blev opmærksom på, at uvedkommende kunne tilgå personoplysninger i systemet, blev der atter etableret adgangsbegrænsninger, så det kun var autoriserede medarbejdere, som havde adgang dertil.

Kritik af universitetet
Datatilsynet fandt, at universitetet som følge af den manglende adgangsbegrænsning ikke havde etableret tilstrækkelige organisatoriske og tekniske sikkerhedsforanstaltninger til at sikre et passende sikkerhedsniveau.

I den forbindelse bemærkede Datatilsynet, at kravet om passende sikkerhedsforanstaltninger indebærer, at når der gennemføres ændringer i et system, der behandler personoplysninger, bør det ske efter en bestemt procedure, som sikrer, at potentielle konsekvenser af ændringen overvejes. I forlængelse heraf bør der efter gennemførte ændringer i et sådant system planlægges test, som påser, at sikkerhedskravene til systemet fortsat er opfyldt.

Datatilsynet valgte på baggrund heraf at udtale kritik af universitetets behandling af personoplysninger og tillagde det vægt, at der ikke var foretaget test efter ændringer i systemet, at det i en længere og ukendt periode havde været muligt for uvedkommende at tilgå personoplysninger om universitets medarbejdere, og at der i forlængelse heraf ikke havde været foretaget en løbende kontrol af brugeradgangene.

Norrbom Vinding bemærker

  • at afgørelsen illustrerer, at kravet om, at den dataansvarlige skal sikre et passende sikkerhedsniveau, indebærer, at den dataansvarlige efter ændringer i systemer løbende fører kontrol med brugeradgange, og
  • det bl.a. indgår i Datatilsynets vurdering, hvor lang tid personoplysningerne har været tilgængelige for uautoriserede.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.