Datatilsynet meddelar att de fattat beslut i tre fall avseende brott mot dataskyddsförordningen (“GDPR”). De tre besluten gällde FLIS-systemet, Schultz Expose och Odense kommun. Gemensamt för fallen är att det på grund av bristande grundläggande kontroller antingen har förekommit för mycket information som vidarebefordrats till mottagarna eller tillgång till information som rör alltför många medborgare.
I två av fallen finns det enligt Datatilsynet information relaterad till sysselsättning för ungefär 1,5 miljoner medborgare respektive upp till 4,2 miljoner medborgare. Här har Datatilsynet uttryckt kritik mot de företag som var personuppgiftsbiträden för kommunerna. I det senare fallet var överlåtelsen av namn, adress och personnummer oavsiktlig när en person fyllde i en kommuns digitala ansökan för en annan medborgares räkning.
Den senare händelsen är ett exempel på ett fall där kommunen som ansvarar för personuppgiftsbehandlingen inte gör tillräckligt grundläggande kontroller av vilken information som vidarebefordrades till personuppgiftsbiträdet i samband med att ett IT-system tagits i drift. Samma sak gäller i de tidigare nämnda fallen där man inte heller utfört grundläggande kontroller av den information som lämnats ut och varit möjlig att komma åt efter att systemet har ändrats i samband med en uppdatering.
Datatilsynet betonar att IT-system regelbundet bör:
- Se till att systemet inte vidarebefordrar mer information än vad som är nödvändigt till lämpliga mottagare,
- Se till att systemet inte lämnar ut information till fel mottagare,
- Säkerställer att åtkomsten till systemet fungerar på lämpligt sätt, inbegripet att användarna endast har tillgång till exakt den information som de bör ha tillgång till
Enligt Datatilsynet är det särskilt viktigt att dessa kontroller utförs innan ett IT-system tas i drift och efter att en ändring gjorts i systemet.