Datatilsynet med alvorlig kritik:
Alle ansatte havde adgang til 400.000 personsager

Samtlige medarbejdere i Kolding Kommune havde i en periode på 7,5 år tilgang til personoplysninger fra 400.000 personsager.
22. APR 2020 12.40

KOLDING: Datatilsynet udtaler nu alvorlig kritik af Kolding Kommune. Den kommer, efter at kommunen den 30. september 2019 anmeldte et brud på persondatasikkerheden.

Anmeldelsen kommer på baggrund af en sag, hvor der ifølge tilsynet i 7,5 år har ligget omkring 400.000 borger-, familie-, personale- og ejendomssager med videre tilgængeligt for alle kommunens ansatte, og ikke kun de tilknyttede sagsbehandlere.

Kommunen havde nemlig ikke 'truffet passende tekniske og organisatoriske foranstaltninger' til at sikre, at uvedkommende ikke kunne tilgå de mange sager, vurderer tilsynet.

Sagerne skulle kun have været tilgængelige gennem et af kommunens sagsbehandlingssystemer. Men i forbindelse med en opgradering foretaget af en leverandør tilbage i 2012 blev dokumenterne utilsigtet gjort tilgængelige, så ansatte kunne tilgå dem udenom systemet. Ifølge kommunen blev den dog ikke selv oplyst om ændringen.

BDO fandt sikkerheden tilfredsstillende

I 2016, 2017 og 2019 foretog BDO desuden revisioner af kommunens it-systemer, der havde relation til regnskabsføring. 

BDO oplyser i revisionen fra 2018, at gennemgangen ikke havde 'til henblik at sikre, at kommunen overholder databeskyttelseslovgivningen, men vi har forespurgt kommunen for at opnå et overblik over området og for at sikre, at der ikke er overtrædelser, der vil have en væsentlig påvirkning på kommunens årsregnskab'. 

Her konkluderede BDO i rapporten, at kommunen havde implementeret hensigtsmæssig foranstaltninger og at styringen af it-sikkerheden for de gennemgåede områder er 'tilfredsstillende'.

Kolding oplyste dengang, at revisionen tegnede et generelt billede af kommunens sikkerhedsniveau.

Efter en gennemgang af sagen udtaler Datatilsynet dog alvorlig kritik af kommunen. Tilsynet finder blandt andet, at revisionerne generelt ikke har set på persondatabeskyttelsen, og at kommunen ikke har gennemført eller har haft procedurer for regelmæssig afprøvning og evaluering af sikkerhedsforanstaltningerne. 

Kommunen fandt selv fejlen den 17. september 2019 og lukkede for hullet til mappen. Derudover har Datatilsynet noteret sig, at kommunen 'fremover vil foretage en scanning for åbne drev'. Tilsynet ser dermed sagen afsluttet.

Læs hele afgørelsen hos Datatilsynet.

Stillinger fra Lundgaard Konsulenterne
dkjob
www.mercuriurval.com
Fordi mennesker betyder alt