Danmark: Køge kommun kritiseras för otillräckliga säkerhetsåtgärder

Den danska dataskyddsmyndigheten Datatilsynet kritiserar Køge kommun för att inte ha haft systematiska kontroller av användarnas rättigheter i Aula vilket utgör en överträdelse av artikel 32.1 i dataskyddsförordningen (GDPR).

Køge Kommun var bland de myndigheter som Datatilsynet sommaren 2021 valt att utöva tillsyn över enligt gällande dataskyddsregler. Granskningen fokuserade på Køge kommuns sätt att förvalta umgängesrätten på barn- och ungdomsområdet, inklusive särskilt skolområdet. I samband med detta granskade Datatilsynet Køge kommuns förvaltning i Aula.

Enligt Datatilsynet följer det av artikel 32.1 GDPR, att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som den personuppgiftsansvariges behandling av personuppgifter innebär. Den personuppgiftsansvarige har således enligt Datatilsynet en skyldighet att identifiera de risker som den personuppgiftsansvariges behandling innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade mot dessa risker.

Datatilsynet anser att kravet på lämplig säkerhet normalt innebär att den personuppgiftsansvarige löpande kontrollerar om användarnas tillgång till system är begränsad till de personuppgifter som är nödvändiga och relevanta för användaren i fråga, samt att rättigheterna återspeglar restriktioner i underliggande system.

Enligt de uppgifter som lämnats till  Datatilsynet under ärendet utgår myndigheten från att Køge kommun, i samband med tilldelning av rättigheter till nyanställda, utfört kontroller av befintliga anställda med rättigheter genom att kommunens skolavdelning skickat en sammanställning över nuvarande anställda med rättigheter till berörd skolchef, som därefter bekräftat korrektheten i denna sammanställning.

Datatilsynet anser att Køge kommun, genom att inte ha systematiska kontroller med exempelvis fasta intervall, inte har vidtagit lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som kommunens behandling av personuppgifter innebär. Datatilsynet finner därför skäl att framföra kritik mot att Køge kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på danska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.