Datatilsynet finner skäl att framföra kritik mot att Gentofte kommuns behandling av personuppgifter inte har skett enligt reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår att Gentofte kommun var bland de myndigheter som Datatilsynet sommaren 2021 valt att utöva tillsyn över enligt gällande dataskyddsregler. Datatilsynets granskning var en skriftlig granskning, som fokuserat på Gentofte kommuns förvaltning av rättigheter för e-postbrevlådor som flera användare har tillgång till, typiskt kallade avdelnings- och funktionsbrevlådor.
Enligt Datatilsynet följer det av artikel 32.1 GDPR, att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att den personuppgiftsansvarige löpande kontrollerar om åtkomsträttigheter till avdelnings- och funktionsbrevlådor är begränsade till de personuppgifter som är nödvändiga och relevanta för användarens arbetsrelaterade behov. Dessutom anser Datatilsynet att kontrollen av åtkomsträttigheter, vanligtvis som ett minimum, bör bestå av en verifiering av det arbetsrelaterade behovet vid tilldelningen, en löpande kontroll baserad på verifiering av att detta behov fortfarande finns kvar och en form av revision därav. Om revisionen görs som stickprovskontroller ska antalet provtagna vara representativt i förhållande till antalet möjliga incidenter och risken för de registrerades rättigheter.
Enligt Datatilsynet har Gentofte kommuns kontrollomfattning i förhållande till antalet rättighetsgrupper, specifikt genom att inte utföra tillräcklig kontroll av åtkomsträttigheterna till kommunens avdelnings- och funktionsbrevlådor, inte vidtagit lämpliga organisatoriska åtgärder för att säkerställa en nivå av säkerheten vid kommunens behandling av personuppgifter.
Datatilsynet noterar att Gentofte kommun endast kontrollerat två brevlådor av 564 i det senaste kvartalsprovet. Datatilsynet noterar vidare att det är myndighetens omedelbara bedömning att Gentofte kommun inte har visat att det, utifrån riskerna med kommunens behandling av personuppgifter, är tillräckligt med två prover i kvartalet givet antalet brevlådor totalt.
Datatilsynet finner därför skäl att framföra kritik mot att Gentofte kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR. Datatilsynet uppmanar Gentofte kommun att intensifiera sin kontroll av rättigheterna till kommunens avdelnings- och funktionsbrevlådor.