Datatilsynet anser att det finns skäl att framföra kritik mot att Aalborgs universitets behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet avgjort ett ärende rörande Aalborgs universitet, där studenter, personal och gästarbetare haft tillgång till personuppgifter om universitetets anställda i ett system. Beslutet gäller ett ärende där Aalborgs universitet anmält en personuppgiftsincident.
Enligt Aalborgs universitet har det under flera år, troligen sedan 2020 och fram till augusti 2022, varit möjligt för vem som helst med en AAU-användarprofil (studenter, anställda och gästarbetare) att få tillgång till icke-känsliga uppgifter om universitetets anställda i ett system. Systemet har alltså inte haft den nödvändiga åtkomstbegränsningen, eftersom endast IT-personal vid universitetet behöver använda systemet i sitt dagliga arbete.
I det aktuella fallet har det enligt Aalborgs universitet, i samband med migreringen till en ny server och omskrivningen av koden i systemet sommaren 2020, sannolikt inträffat ett mänskligt fel, eftersom ingen testning av åtkomstkontrollen i systemet genomförts. Aalborgs universitet har i detta sammanhang konstaterat att universitetets riktlinjer inte följts.
Det följer av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som den registeransvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder införs för att skydda de registrerade mot dessa risker.
Datatilsynet anser att tillräckligt hög säkerhet normalt innebär att vid migrering till ny server och omskrivning av kod i ett system som behandlar personuppgifter ska ändringarna göras enligt fastställda rutiner, dvs. varvid de eventuella konsekvenserna av ändringarna beaktas. Kravet innebär också att att tester ska planeras som kan verifiera att de uppställda säkerhetskraven, inklusive åtkomstbegränsningar, fortfarande är uppfyllda efter att ändringarna har genomförts.
Därutöver anser Datatilsynet att kravet på lämpliga säkerhetsåtgärder normalt innebär att den personuppgiftsansvarige löpande kontrollerar om användarens tillgång till system med personuppgifter är begränsad till de användare som har ett legitimt behov av att få tillgång till informationen i systemet.
Utifrån ovanstående konstaterar Datatilsynet att Aalborg Universitet, genom att inte ha utfört nödvändiga tester efter ändringar av systemet och genom att inte ha genomfört tillräcklig löpande kontroll av användaråtkomsten, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som matchar riskerna i Aalborg Universitets behandling av personuppgifter.
Datatilsynet anser därför att det finns skäl att framföra kritik mot att Aalborgs universitets behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GPDR.