BRØNDBY: Datatilsynet har truffet afgørelse i en sag om Brøndby Kommune. I afgørelsen lyder det, at Datatilsynet udtaler alvorlig kritik af, at Brøndby Kommune ikke havde truffet passende sikkerhedsforanstaltninger.
Sagen stammer fra 2023, hvor Datatilsynet gennemførte et tilsynsbesøg hos Brøndby Kommune. Her havde tilsynet fokus på to centrale temaer: Den periodiske kontrol med adgangsrettigheder og brugen af flerfaktorautentifikation (MFA) ved direkte adgang fra internettet til kommunens it-systemer.
Hvad er MFA?
- Flerfaktorautentifikation kaldes også fler-faktor-login eller på engelsk MFA (Multi-Factor Authentication).
- MFA indebærer, at brugeren skal afgive to eller flere uafhængige faktorer af forskellige kategorier for at opnå adgang.
- Faktorerne skal kunne autentificere hvem brugeren er, dvs. sikre at det er den rette bruger, som logger ind.
Kilde: Datatilsynet
Temaerne blev valgt på baggrund af bl.a. Datatilsynets anbefalinger til Brøndby Kommune i forbindelse med skriftlige tilsyn i hhv. 2021 og 2022, hvor der blev set nærmere på kommunens modenhed på databeskyttelsesområdet.
Datatilsynet konkluderede, at Brøndby Kommune ikke havde foretaget løbende dokumenteret kontrol af almindelige brugeres adgange til den tværfaglige sundhedsplatform KMD Nexus, da kommunens seneste kontroller forud for tilsynsbesøget var foretaget i januar hhv. 2020 og marts 2021.
Desuden havde Brøndby Kommune heller ikke implementeret MFA ved adgang til bl.a. KMD Nexus direkte fra internettet frem til den 15. november 2023. MFA blev altså først implementeret efter, at Datatilsynet havde varslet tilsynet over for Brøndby Kommune, og desuden fem år efter at kommunen i en risikovurdering af KMD Nexus havde vurderet, at manglende MFA ved login direkte fra internettet udgjorde en sårbarhed.
Du kan læse hele afgørelsen her.
ap
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Nyts artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Nyts artikler med personer, der ikke selv har et personligt abonnement på DK Nyt
Afvigelse fra ovenstående kræver skriftligt tilsagn fra DK Medier.
