Datatilsynet har beslutat att polisanmäla Lyngby-Taarbæk kommun, eftersom de anser att kommunen inte har uppfyllt kraven på en adekvat säkerhetsnivå i dataskyddsförordningen (GDPR).
Datatilsynet har också rekommenderat att Lyngby-Taarbæk kommun ska få en sanktionsavgift på 350 000-400 000 danska kronor för att i flera fall ha underlåtit att uppfylla sin skyldighet att som personuppgiftsansvarig vidta lämpliga säkerhetsåtgärder.
Datatilsynet fick kännedom om fallen när Lyngby-Taarbæk kommun anmälde personuppgiftsincidenter som gällde obehörig åtkomst till personuppgifter.
Två anmälningar gällde avsaknad av riktlinjer och rutiner för att avsluta användaråtkomst samt avsaknad av regelbunden uppföljning av dessa. Frågan gällde it-systemet KMD Nexus som användes inom vårdsektorn och som därför innehöll sekretessbelagda och känsliga personuppgifter om ett stort antal medborgare i Lyngby-Taarbæk kommun.
Lyngby-Taarbæk kommunens bristfälliga säkerhet innebar att minst 1 000 tidigare anställda hade fortsatt tillgång till systemet efter att deras anställning upphört. Enligt kommunen fanns det tillgång till personuppgifter om cirka 30 000 medborgare och i åtminstone ett fall missbrukades denna tillgång av en tidigare anställd som fick tillgång till uppgifter om 1 022 medborgare.
En tredje anmälan gällde en obehörig person som missbrukat inloggningsuppgifterna för en av Lyngby-Taarbæk kommuns anställda. Detta gav tillgång till den anställdes Office-tjänster, inklusive Outlook, OneNote och SharePoint, som innehöll information om cirka 5 000 medborgare, anställda och affärspartners.
Både KMD Nexus och Microsofts tjänster kunde nås direkt från internet. Mot denna bakgrund undersökte Datatilsynet om Lyngby-Taarbæk kommun infört multifaktorautentisering eller annan effektiv säkerhet för dessa fjärranslutningar. Detta visade sig inte vara fallet, eftersom de anställda kunde logga in med endast användarnamn och lösenord. De säkerhetsåtgärder som saknades hade varit på plats sedan Microsoft-tjänsterna och KMD Nexus togs i bruk 2016 respektive 2018.
Enligt Datatilsynet är personuppgiftsansvariga skyldiga att se till att de personuppgifter som de behandlar inte lämnas ut till obehöriga. Ett sätt att säkerställa detta är att se till att de anställda endast har tillgång till de system och den information som de behöver för sitt dagliga arbete och att denna tillgång upphör när de inte längre är anställda. Därför har krav på användarhantering varit en del av de grundläggande säkerhetsåtgärderna i många år. Datatilsynet betonar dock att det kan ske misstag i dessa processer, varför det också måste göras lämpliga kontroller för att säkerställa att användaråtkomsten faktiskt har stängts av på rätt sätt och i rätt tid när medarbetare byter arbetsuppgifter eller slutar.
Datatilsynet gör alltid en särskild bedömning av ärendets allvar i enlighet med artikel 83.2 GDPR vid bedömningen av vilken sanktion som enligt Datatilsynets uppfattning är den rätta.
I sin bedömning av om sanktionsavgifter ska utfärdas och i sin rekommendation om sanktionenavgiftens storlek har Datatilsynet särskilt betonat att Lyngby-Taarbæk kommun i flera fall och under en lång tidsperiod har underlåtit att vidta grundläggande säkerhetsåtgärder. Särskilt i förhållande till användarhantering betonades det också att kommunen inte implementerat lämpliga riktlinjer och förfaranden trots att kommunen vid flera tillfällen gjorts uppmärksam på att det fanns brister på området.
Vid fastställandet av sanktionsavgiften har Datatilsynet även beaktat GDPR:s krav på att en sanktionsavgift i varje enskilt fall ska vara effektiv, proportionerlig och avskräckande. Kommunens storlek i fråga om befolkning och total driftsbudget har också beaktats.