Datatilsynet finner anledning att rikta allvarlig kritik mot att Köpenhamns kommuns behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Köpenhamns kommun genomfört en flytt av filer med en stor mängd data (diskswap). I samband med flytten fick användare på grund av ett mänskligt misstag för bred åtkomst till den hårddisk där datan lagrades. Detta ledde till att cirka 37 500 anställda i kommunen fått obehörig tillgång till information om upp till 3,7 miljoner människor. Uppgifterna rörde en så kallad SAS-installation (format för ledningsinformation m.m.) och endast fyra utvecklare av SAS-datalager skulle ha haft tillgång till uppgifterna. För majoriteten av de drabbade rörde det sig om namn- och adressuppgifter, men filerna innehöll även information om välbefinnande, språkbedömning och information om barns tand- och sjukvård. Den breda åtkomsten existerade i nästan två månader tills Köpenhamns kommun upptäckte felet under en rutinmässig säkerhetsskanning av kommunens öppna hårddiskar. Åtkomsten stängdes därefter och händelsen rapporterades till Datatilsynet som en personuppgiftsincident.
I samband med ärendet noterade Köpenhamns kommun att kommunen bedömde att det var mycket låg sannolikhet för att en vanlig it-användare skulle stöta på hårddisken, eftersom det krävdes särskilda förutsättningar för att hitta den. Nätverksregistreringen var avstängd på de enskilda datorerna, vilket innebar att medarbetarna inte kunde hitta hårddisken genom vanliga sökningar på datorn. Det innebar också att URL:en måste vara känd eller att enheten aktivt måste sökas efter. Kommunens undersökningar visade att inget skanningsverktyg hade använts för att leta efter öppna hårddiskar under den period då intrånget ägde rum. Vidare visade granskningen av den administrativa loggen att endast personer med ett arbetsrelaterat behov hade tillgång. Kommunens loggar över samtliga administrativa it-användares potentiella åtkomst till hårddisken gick dock inte så långt tillbaka i tiden att kommunen med säkerhet kunde dra slutsatsen att inga andra anställda än de med ett arbetsrelaterat behov hade tagit del av informationen under perioden. Kommunen uppgav också att majoriteten av SAS-filerna inte var omedelbart läsbara för den som fått obehörig åtkomst och att detta krävde att data först bearbetades i ett SAS-program.
Efter en samlad bedömning av omständigheterna i ärendet, inklusive den tid som förflutit sedan händelsen, konstaterar Datatilsynet att kommunen inte vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som är förenade med myndighetens behandling av personuppgifter.
Datatilsynet betonar att kommunen inte säkerställt att endast anställda med ett arbetsrelaterat behov hade tillgång till hårddisken, att det fanns ett upplägg där en enda anställds misstag kunde leda till en överträdelse som omfattade 3,7 miljoner människor och att det inte omedelbart efter överföringen av uppgifterna hade testats om rättigheterna till hårddisken var korrekta, vilket omedelbart skulle ha avslöjat felet eftersom alla administrativa anställda hade fått tillgång till den.
Datatilsynet anser generellt att man vid utveckling av nya applikationer eller flyttning av filstationer först måste bedöma om det är nödvändigt att flytta och lagra uppgifterna i personligt identifierbar form i framtiden. Om det är nödvändigt för ändamålet med behandlingen kan en möjlig säkerhetsåtgärd vara att den personuppgiftsansvarige ser till att uppgifterna krypteras så att endast en behörig person kan läsa och låsa upp uppgifterna. Ett proprietärt dataformat (t.ex. SAS-format) är inte liktydigt med kryptering, eftersom det ofta finns visare eller plugins som gör det relativt enkelt att läsa dessa filformat. I alla utvecklings- och underhållsuppgifter är det också viktigt att de som är auktoriserade av den personuppgiftsansvarige, som en del av förändringsprocessen, måste kontrollera att den avsedda åtkomsthanteringen, kontrollen och loggningen fungerar innan ändringen tas i drift.
Datatilsynet noterar också i beslutet att kommunen genomfört regelbundna (kvartalsvisa) nätverksskanningar för delade enheter med korrekta rättigheter, och att kommunen uppgett att den skulle genomföra ett antal åtgärder för att undvika att en liknande situation uppstod igen. Datatilsynet noterar dock också att Köpenhamns kommun därefter har rapporterat flera personuppgiftsincidenter, som består i att anställda får tillgång till personuppgifter som de inte har ett arbetsrelaterat behov av att få tillgång till, och att myndigheten därför förutsätter att Köpenhamns kommun fortsätter att fokusera på att säkerställa att lämpliga säkerhetsåtgärder vidtas för att minska risken för sådana incidenter och för att säkerställa att eventuella incidenter upptäcks snabbt.
Mot bakgrund av ovanstående anser Datatilsynet att det finns skäl att rikta allvarlig kritik mot att Köpenhamns kommuns behandling av personuppgifter inte skett i enlighet med artikel 32.1 GDPR.