Datatilsynet har genomfört inspektioner av tre utvalda polisdistrikts användarhantering och loggkontroll av polisens ärendehanteringssystem POLSAS. I samtliga tre fall fann Datatilsynet anledning till rikta kritik mot polisdistriktens behandling av personuppgifter på grund av otillräckliga loggkontroller.
Av besluten framgår att Datatilsynet under 2021 inledde skriftliga inspektioner av Nordjyllands Politis, Fyns Politis och Bornholms Politis användarhantering och loggkontroll av polisens ärendehanteringssystem POLSAS, eftersom systemet behandlar stora mängder personuppgifter, inklusive information om brott. De tre polisdistrikten valdes ut eftersom de varierar i storlek och speglar en geografisk spridning.
Polisdistriktens information om användarhanteringen i POLSAS, dvs. administrationen av behörigheter, inklusive hur behörigheter beviljas och upphävs, gav inte anledning till några anmärkningar från Datatilsynet.
Datatilsynet fann dock anledning att kritisera att polisdistriktens loggkontroller inte var förenliga med reglerna om säkerhet vid behandling av personuppgifter, eftersom de inte hade infört fasta rutiner för löpande loggkontroller (till exempel slumpmässiga kontroller) för att säkerställa att användarna endast får tillgång till information som de har ett arbetsrelaterat behov av att behandla. Polisdistrikten kontrollerade endast loggarna när det fanns en konkret misstanke om missbruk.
Datatilsynet anser att kravet på tillräcklig säkerhet normalt innebär att den personuppgiftsansvarige löpande gör stickprovskontroller av loggen för att kontrollera att användarna endast kommer åt information som de har ett arbetsrelaterat behov av att behandla. En särskild riskbedömning kan ligga till grund för hur och hur ofta denna kontroll ska utföras. Det är dock Datatilsynets uppfattning att slumpmässiga kontroller var sjätte månad ofta är ett absolut minimum vid bred åtkomst där anställda har tillgång till mycket konfidentiell eller känslig information och/eller tillgång till information om många personer. Personuppgiftsansvariga kan också överväga att inrätta varningar (till exempel baserat på loggdata) som aktiveras automatiskt vid misstänkt aktivitet, och detta kan komplettera eller ersätta mer slumpmässiga stickprov. Loggkontroller har en omedelbart korrigerande funktion, men ett annat viktigt syfte med att genomföra loggkontroller är att de kan ha en förebyggande effekt. Att informera de anställda om att loggkontroller genomförs löpande kan därför vara ett effektivt sätt att minska risken för missbruk av i övrigt legitima åtkomsträttigheter.
Enligt Datatilsynets uppfattning bör missbruk av åtkomsträttigheter förebyggas genom en kombination av medvetenhet, inklusive medvetenhet om vad som utgör behörig respektive obehörig åtkomst, systematisk rättighetshantering, loggning och löpande övervakning av användarnas åtkomst i system där personuppgifter behandlas. Dessutom måste den personuppgiftsansvarige se till att reglerna tillämpas effektivt.
Datatilsynet har i sin bedömning av ärendena betonat att POLSAS behandlar både vanliga, känsliga och andra skyddsvärda personuppgifter och att alla anställda i polisdistrikten har tillgång till POLSAS, och i allmänhet också tillgång till alla ärenden och all information i systemet.
Datatilsynet noterade också i samband med inspektionen att:
- Arbetsgivare måste följa dataskyddsförordningens (GDPR) krav på information när de genomför kontrollåtgärder såsom loggkontroller. Det innebär att de anställda klart och tydligt ska informeras om att registrering och kontroll genomförs.
- När det finns ett gemensamt personuppgiftsansvar mellan två eller flera parter är det viktigt att upprätta ett avtal som tydligt definierar deras respektive ansvar för att uppfylla de olika skyldigheter som åligger en personuppgiftsansvarig enligt GDPR. Två av polisdistrikten uppgav att avsaknaden av slumpmässiga kontroller berodde på ett missförstånd om att sådana kontroller utfördes av Rigspolitiet.
Datatilsynet har informerat Rigspolitiet om inspektionerna och har i samband med detta noterat att Datatilsynet förutsätter att Rigspolitiet ser till att ordentliga loggkontroller genomförs även vid de andra polisdistrikten, om detta inte redan har gjorts.