Danmark: Gladsaxe kommun kritiseras för bristande kontroll av anställdas behörigheter

Datatilsynet anser att det finns skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32 i dataskyddsförordningen (GDPR). 

Av beslutet framgår att Gladsaxe kommun var bland de utvalda kommuner som Datatilsynet kontrollerade sommaren 2021 i enlighet med gällande dataskyddsregler. Revisionen fokuserade på Gladsaxe kommuns sätt att förvalta umgängesrätten på barn- och ungdomsområdet, inklusive skolområdet. Datatilsynet undersökte i detta sammanhang om Gladsaxe kommun dragit in pensionerade anställdas behörigheter till kommunens elektroniska ärende- och dokumenthanteringssystem SBSYS.

Enligt Datatilsynet följer det av artikel 32.1GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker. Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att åtgärder har vidtagits för att tilldela och frånta behörigheter till system, så att endast användare som har ett arbetsrelaterat behov av att få tillgång till informationen behörig att göra det.

Datatilsynet anser att Gladsaxe kommun, genom att inte ha fråntagit en viss användare behörighet till SBSYS efter den anställdes uppsägning, och genom att inte ha genomfört erforderlig uppföljning eller revidering av uppsagda anställdas behörigheter, inte vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som passar de risker som kommunens behandling av personuppgifter innebär. Det är Datatilsynets uppfattning att det, utöver ett förfarande för återkallelse av behörigheter vid anställningens upphörande, ska finnas ett kontrollförfarande som effektivt följer upp om detta också har skett.

Datatilsynet finner därför skäl att framföra kritik mot att Gladsaxe kommuns behandling av personuppgifter inte har skett enligt reglerna i artikel 32.1 GDPR.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Gladsaxe kommun

Beslutsnummer: 2021-423-0235

Beslutsdatum: 2022-04-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.