Search
Close this search box.

Danmark: Gladsaxe kommun kritiseras för bristande kontroll av anställdas behörigheter

Datatilsynet anser att det finns skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR). 

Av beslutet framgår att Gladsaxe kommun var bland de utvalda kommuner som Datatilsynet kontrollerade sommaren 2021 i enlighet med gällande dataskyddsregler. Revisionen fokuserade på Gladsaxe kommuns sätt att förvalta umgängesrätten på barn- och ungdomsområdet, inklusive skolområdet. Datatilsynet undersökte i detta sammanhang om Gladsaxe kommun dragit in pensionerade anställdas behörigheter till kommunens elektroniska ärende- och dokumenthanteringssystem SBSYS.

Enligt Datatilsynet följer det av artikel 32.1GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att åtgärder har vidtagits för att tilldela och frånta behörigheter till system, så att endast användare som har ett arbetsrelaterat behov av att få tillgång till informationen behörig att göra det.

Datatilsynet anser att Gladsaxe kommun, genom att inte ha fråntagit en viss användare behörighet till SBSYS efter den anställdes uppsägning, och genom att inte ha genomfört erforderlig uppföljning eller revidering av uppsagda anställdas behörigheter, inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Det är Datatilsynets uppfattning att det, utöver ett förfarande för återkallelse av behörigheter vid anställningens upphörande, ska finnas ett kontrollförfarande som effektivt följer upp om detta också har skett.

Datatilsynet finner därför skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett enligt reglerna i artikel 32.1 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Gladsaxe kommun

Beslutsnummer: 2021-423-0235

Beslutsdatum: 2022-04-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.