Datatilsynet anser att det finns anledning att framföra allvarlig kritik mot att Brøndby kommun inte vidtagit lämpliga säkerhetsåtgärder enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att hösten 2023 genomförde Datatilsynet en tillsyn hos Brøndby kommun med fokus på två centrala teman; periodisk kontroll av åtkomsträttigheter och användning av multifaktorautentisering vid åtkomst till kommunens it-system direkt från internet. Temana valdes utifrån Datatilsynets rekommendationer till Brøndby kommun i samband med den skriftliga tillsynen 2021 och 2022, där kommunens mognad inom dataskyddsområdet granskades.
Datatilsynet konstaterade i ärendet att Brøndby kommun inte utfört löpande dokumenterade kontroller av vanliga användares åtkomst till it-systemet KMD Nexus, dvs. användare som inte har utökade rättigheter/administratörsrättigheter, eftersom kommunens senaste kontroller före tillsynsbesöket utfördes i januari 2020 och mars 2021.
Dessutom konstaterade Datatilsynet att Brøndby kommun inte implementerat multifaktorautentisering vid åtkomst till it-systemen KMD Nexus, SAPA eller Momentum direkt från internet förrän den 15 november 2023. Multifaktorautentisering implementerades först efter att Datatilsynet underrättat Brøndby kommun om tillsynen och fem år efter att kommunen i en riskbedömning av it-systemet KMD Nexus bedömt att avsaknaden av multifaktorautentisering vid inloggning direkt från internet utgjorde en sårbarhet.
På grundval av detta riktade Datatilsynet allvarlig kritik mot Brøndby kommun för att inte ha vidtagit lämpliga säkerhetsåtgärder enligt artiklarna 5.1 (f), 5.2, 24.1 och 32.1 GDPR.