Datatilsynet anser att det finns anledning att framföra kritik mot att Kerteminde kommun inte har vidtagit lämpliga säkerhetsåtgärder enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet besökte Kerteminde kommun hösten 2023. Tillsynen fokuserade på loggning och loggkontroll, interna rutiner för hantering, rapportering och registrering av personuppgiftsincidenter, inklusive användning av autokomplettering, test av backup, test av beredskap m.m.
Datatilsynet konstaterade i ärendet att Kerteminde kommun inte infört fasta rutiner för löpande loggkontroller, till exempel slumpmässiga kontroller, för att säkerställa att kommunens användare endast tog del av information som de har ett arbetsrelaterat behov av. Kommunen kontrollerade endast loggarna när det fanns en konkret misstanke om missbruk.
Datatilsynet har därför framfört kritik mot Kerteminde kommun för att inte ha vidtagit lämpliga säkerhetsåtgärder enligt artiklarna 5.1 (e), 32.1, 33.5 och 35 GDPR.
När det gäller de övriga områdena konstaterade Datatilsynet att Kerteminde kommun bör fortsätta att utveckla policyer och rutiner för radering i löst sammankopplade system och i specialiserade system. Vidare påpekade Datatilsynet att kommunen måste fortsätta att identifiera vilka behandlingar som kräver konsekvensanalyser och att en plan för genomförandet av dessa analyser måste tas fram i samband med detta.