Datatilsynet anser att det finns skäl att framföra kritik mot att Høje-Taastrup kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår bland annat att Høje-Taastrup kommun var bland de myndigheter som Datatilsynet sommaren 2021 valt att utöva tillsyn över enligt gällande dataskyddsregler. Datatilsynets granskning var en skriftlig tillsyn som fokuserat på åtkomsträttigheter i Høje-Taastrup kommuns filsystem.
Genom skrivelse den 9 juni 2021 underrättade Datatilsynet Høje-Taastrup kommun och begärde i detta sammanhang en förteckning över kommunens filsystem, i vilka uppgifter om fysiska personer behandlas. I samband med granskningen valde Datatilsynet en databas där åtkomst beviljats för 12 AD-grupper, dvs. 12 grupper av användare.
Enligt artikel 32.1 GDPR följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.
Datatilsynet anser att kravet på lämplig säkerhet normalt kommer att innebära att användarnas tillgång till system begränsas till de personuppgifter som är nödvändiga för användarens arbetsrelaterade behov samt att åtgärder har vidtagits för att bevilja och frånta åtkomsträttigheter så att endast användare som har ett arbetsrelaterat behov av att få tillgång till informationen är behöriga att göra det.
Efter en genomgång av ärendet konstaterar Datatilsynet att Høje-Taastrup kommun, genom att inte ha riktlinjer eller objektiva kriterier för registrering i AD-grupperna, inte har vidtagit lämpliga tekniska eller organisatoriska åtgärder för att säkerställa en säkerhetsnivå som matchar de risker som kommunens handläggning av personuppgifter i enlighet med artikel 32.2 GDPR.
Enligt Datatilsynet har 410 personer haft AD-åtkomst till LOIS-databasen. Vidare har kommunen inte dokumenterat att en bedömning har gjorts av de anställdas arbetsrelaterade behov av tillgång till LOIS-databasen. Datatilsynet finner därför skäl att framföra kritik mot att Høje-Taastrup kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Datatilsynet har noterat att Høje-Taastrup kommun har för avsikt att utarbeta riktlinjer för tilldelning av tillgång till databasen. Datatilsynet uppmuntrar i detta sammanhang kommunen att objektivt beskriva vilken funktion eller arbetsuppgift som måste finnas för att få tillträde samt att en chef för denna funktion verifierar att den specifika medarbetaren har detta behov av att utföra uppgiften.