Faxe Kommune: Datatilsynet finder det meget beklageligt at Faxe Kommune som opfølgning på en inspektion eftersendte tilsynet en logudskrift indeholdende en større mængde personnumre på borgere i Faxe Kommune.

Den 18. maj 2015 foretog Datatilsynet en inspektion hos Faxe Kommune.

Under inspektionen kunne Datatilsynet konstatere at Faxe Kommune på flere punkter ikke har levet op til kravene i persondataloven1 og sikkerhedsbekendtgørelsen2:

Datatilsynet finder følgende kritisabelt:

• Manglende stikprøvekontrol af loggen.
• Manglende indgåelse af databehandleraftale, jf. persondatalovens § 42, stk. 2.
• Utilstrækkelig kontrol af sikkerheden hos de anvendte databehandlere, jf. persondatalovens § 42, stk. 1.

Herudover finder Datatilsynet det meget beklageligt, at Faxe Kommune som opfølgning på inspektionen – ved almindelig ukrypteret e-mail af 28. januar 2016 – eftersendte tilsynet en logudskrift indeholdende en større mængde personnumre på borgere i Faxe Kommune.

Det fremgår det af en udtalelse på Datatilsynets hjemmeside. Udtalelsen er fra februar, men den er først lagt på hjemmesiden her i marts måned, ifølge version2.dk.

Kort resumé af inspektionen

Inspektionen blev afholdt hos Faxe Kommune og var en generel inspektion af udvalgte emner.

Følgende emner blev drøftet under inspektionen:

• Behandling af personoplysninger i forbindelse med personaleadministration.
• De registreredes rettigheder.
• Iagttagelse af krav om datasikkerhed, herunder krav i sikkerhedsbekendtgørelsen.
• Håndtering af sikkerhedsbrister.
• Efterlevelse af anmeldelsespligten.

Desuden foretog Datatilsynet en fysisk besigtigelse af Faxe Kommunes borgerservice.

Stikprøvekontrol af loggen

Ifølge lovgivningen om kommunale borgerservicecentre skal kommuner, der har borgerservicecentre, foretage stikprøvekontrol af logfiler. Stikprøverne skal foretages med jævne mellemrum.

Det viste sig at kommunen ikke har foretaget stikprøvekontrol af loggen.

Den overordnede idé med at logge adgangen i disse systemer er at opdage, misbrug af oplysninger, eksempelvis ved at medarbejdere kigger i oplysninger, som ikke er relevante for deres opgaveløsning.

Manglende indgåelse af databehandleraftaler

Kommunerne er forpligtede til at indgå såkaldte databehandleraftaler uanset om der sker behandling af følsomme eller almindelige ikke-følsomme personoplysninger.

Under inspektionen blev det oplyst, at kommunen slet ikke havde indgået databehandleraftaler med kommunens databehandlere.

Det blev derfor aftalt, at kommunen inden udgangen af september 2015 skulle sørge for, at der blev indgået databehandleraftaler med alle kommunens databehandlere.

Utilstrækkelig kontrol af sikkerheden hos de anvendte databehandlere

Faxe Kommune oplyste der ikke foretages tilstrækkelig kontrol af sikkerheden hos de anvendte databehandlere, men at der arbejdes på bedre muligheder for fremtidig kontrol.

Datatilsynet henstillede, at Faxe Kommune begynder at påse sikkerheden hos sine databehandlere.

Borgercomputere

Datatilsynet konstaterede under besøget at placeringen af de computere, som kommunen stiller til rådighed for borgerne i borgerservice, ikke var hensigtsmæssig. Nogle af skærmene var placeret således, at det ville være nemt for andre end borgeren selv at kigge med på skærmen.

Kommunen skulle derfor sørger for, at alle borgercomputere placeres så andre ikke kan kigge med.

Uddybende spørgsmål til udskrift af log

Under inspektionen anmodede Datatilsynet Faxe Kommune om at eftersende en kopi af loggen for en række opslag foretaget på en medarbejder i kommunens computer i et nærmere angivet tidsrum. Den ønskede udskrift af loggen blev sendt til datatilsynet i en e-mail den 28. januar.

Efterfølgende har Datatilsynet blandt andet bedt kommunen om at uddybe, hvor man kan se, hvilket søgekriterium, der er anvendt ved søgning på andre oplysninger end personnummer.

Fremsendelse af oplysninger om personnummer via ukrypteret e-mail

Den ovennævnte e-mail til Datatilsynet den 28. januar med udskrift af loggen, var en almindelig ukrypteret e-mail: Den indeholdt større mængde personnumre på borgere i Faxe Kommune, hvilket Datatilsynet finder meget beklageligt.

Efter Datatilsynets opfattelse bør der ved transmission af blandt andet personnumre over internettet som minimum foretages kryptering.