Datatilsynet kritiserar att Herning kommuns behandling av personuppgifter via kommunens IT-system Affaldsweb inte skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår att det fram till den 17 december 2021 varit möjligt för medborgare som delade en avfallscontainer att få tillgång till information om vem som senast redigerat eller beställt containrar samt eventuella kontaktuppgifter som den tidigare användaren kan ha angett i Affaldsweb. Av ärendet följer också att systemet gjort det möjligt att hämta information om en fysisk adress samt information om containerförhållanden (volym, tömningsfrekvens, pris) på denna adress genom URL-manipulation. Användarens unika kod på 5 siffror/tecken har ingått i URL:en och genom att manuellt ändra den var det alltså potentiellt möjligt att komma åt information om andra användare.
Datatilsynet har i detta sammanhang uppgett att ett åtkomstskydd baserat på en kod med 5 siffror/tecken inte ger tillräcklig säkerhet mot attacker baserade på brute force och slumpmässiga gissningar samt att användning av på varandra följande siffror/bokstäver eller igenkännbara teckensekvenser i den webbadressen, som används för individuell åtkomst, ger inte tillräckligt skydd. Enligt Datatilsynet kan uppgifter om adresser och containerförhållanden i jämförelse med andra identifierare relativt enkelt ges karaktären av uppgifter som är personligt identifierbara, alltså personuppgifter.
Herning kommun har anfört att behandlingen varit av mindre känslig karaktär, och att servicen till medborgaren överstigit potentiella risker för de registrerades rättigheter. Datatilsynet noterar som svar på detta att alla personuppgifter är skyddsvärda och att URL-manipulation är en typ av programmeringsfelskälla som är allmänt känd och lätt bör åtgärdas av den personuppgiftsansvarige. Dessutom påpekade Datatilsynet att avvägningen mellan informationens mindre känsliga karaktär å ena sidan och tjänstens bruksvärde å andra sidan inte kan leda till något annat resultat än att personuppgifterna är skyddsvärda.
Mot bakgrund av ovanstående finner Datatilsynet att det finns skäl att framföra kritik mot att Herning kommuns behandling av personuppgifter via IT-systemet Affaldsweb inte har skett i enlighet med reglerna i artikel 32.1 GDPR.