Danmark: Gladsaxe kommun kritiseras för bristande kontroll av anställdas behörigheter

Den danska dataskyddsmyndigheten Datatilsynet anser att det finns skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR). 

Av beslutet framgår att Gladsaxe kommun var bland de utvalda kommuner som Datatilsynet kontrollerade sommaren 2021 i enlighet med gällande dataskyddsregler. Revisionen fokuserade på Gladsaxe kommuns sätt att förvalta umgängesrätten på barn- och ungdomsområdet, inklusive skolområdet. Datatilsynet undersökte i detta sammanhang om Gladsaxe kommun dragit in pensionerade anställdas behörigheter till kommunens elektroniska ärende- och dokumenthanteringssystem SBSYS.

Enligt Datatilsynet följer det av artikel 32.1GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att åtgärder har vidtagits för att tilldela och frånta behörigheter till system, så att endast användare som har ett arbetsrelaterat behov av att få tillgång till informationen behörig att göra det.

Datatilsynet anser att Gladsaxe kommun, genom att inte ha fråntagit en viss användare behörighet till SBSYS efter den anställdes uppsägning, och genom att inte ha genomfört erforderlig uppföljning eller revidering av uppsagda anställdas behörigheter, inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Det är Datatilsynets uppfattning att det, utöver ett förfarande för återkallelse av behörigheter vid anställningens upphörande, ska finnas ett kontrollförfarande som effektivt följer upp om detta också har skett.

Datatilsynet finner därför skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett enligt reglerna i artikel 32.1 GDPR.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på danska.