Stevns Kommune: Ifølge Datatilsynet har Stevns Kommune haft problemer med at leve op til kravene i persondataloven og sikkerhedsbekendtgørelsen.

Den 18. maj 2015 foretog Datatilsynet en inspektion hos Stevns Kommune. Her kom det blandt andet frem at medarbejdere i Stevns Kommune har kunnet se data, de ikke burde have adgang til.

Som opfølgning på inspektionen har Datatilsynet netop offentliggjort en omtale af besøget på tilsynets hjemmeside.

Her kan man læse at Datatilsynet finder det kritisabelt, at Stevns Kommune ikke har levet op til kravene i persondataloven og sikkerhedsbekendtgørelsen på følgende punkter:

1. Manglende stikprøvekontrol af loggen.
2. Utilstrækkelig autorisation, jf. sikkerhedsbekendtgørelsens § 11.
3. Manglende indgåelse af databehandleraftaler, jf. persondatalovens § 42.

Inspektionen blev afholdt hos Stevns Kommune og følgende emner blev drøftet:

• Behandling af personoplysninger i forbindelse med personaleadministration
• De registreredes rettigheder
• Iagttagelse af krav om datasikkerhed, herunder krav i sikkerhedsbekendtgørelsen.
• Håndtering af sikkerhedsbrister.
• Efterlevelse af anmeldelsespligten.

Desuden foretog Datatilsynet en fysisk besigtigelse af Stevns Kommunes borgerservice.

I forhold til de øvrige emner, der blev drøftet på inspektionen, er det overordnet set Datatilsynets vurdering, at Stevns Kommunes svar på tilsynets spørgsmål er tilfredsstillende.

Stikprøvekontrol af loggen

Datatilsynet stiller blandt andet krav om, at kommuner, der etablerer borgerservicecentre, med jævne mellemrum skal foretage stikprøvekontrol af logfiler. Loggen skal vise, hvem der tilgår hvilke oplysninger. Formålet med stikprøvekontrolen er at afsløre eventuelt misbrug af data.

Hertil kunne Stevns Kommune oplyse, at kommunen ikke har foretaget  stikprøvekontrol af loggen.

Stevns Kommune lovede at kommunen fremover vil foretage løbende stikprøvekontrol af loggen i overensstemmelse med Datatilsynets krav herom.

Utilstrækkelig autorisation

Under inspektion bad Datatilsynet en medarbejder om at søge på ordet ”magtanvendelse” i kommunens sagshåndteringssystem, hvilket gav en række hits. Det viste sig at den pågældende medarbejder havde adgang til oplysninger om en indberetning om fysisk magtanvendelse, på trods af at  medarbejderens arbejdsopgaver ikke kræver adgang til de fundne oplysninger om magtanvendelse.

Kommunen har efterfølgende ændret procedure, således at autorisation af medarbejdere sker i overensstemmelse med sikkerhedsbekendtgørelsens bestemmelser herom.

Manglende databehandleraftaler

Reglerne foreskriver, at der skal indgås databehandleraftaler, både når der sker behandling af følsomme og almindelige ikke-følsomme personoplysninger.

KMD A/S har været anvendt af Stevns Kommune som databehandler, uden at der udarbejdet specifikke databehandleraftaler.

Stevns Kommune benytter desuden en anden ekstern databehandler i relation til behandling af personoplysninger i forbindelse med kommunens personaleadministration. Heller ikke har der været indgået databehandleraftale.

Samtidigt skal den dataansvarlige aktivt skal sikre, at de krævede sikkerhedsforanstaltninger overholdes hos databehandleren. Datatilsynet henstiller til kommunen at man begynder at påse sikkerheden hos sine databehandlere.

Borgercomputere

Datatilsynet konstaterede under den fysiske besigtigelse af kommunens borgerservicecenter, at nogle af brugercomputerne var placeret således, at det ville være nemt for andre end brugeren selv at kigge med på skærmen.

Datatilsynet henstillede derfor til, at kommunen sørger for, at borgercomputerne fremover placeres således, at skærmene ikke er umiddelbart synlige for uvedkommende.

Datatilsynet slutter af med at oplyse, at tilsynet ikke foretager sig yderligere i sagen.