Dette site bruger cookies. Hvis du forsætter på sitet, så accepterer du dette. Hvis du ikke ønsker at acceptere cookies så tryk på følgende link. Accepter ikke cookies

Middelfart Kommune Logo
Bær med sne

Datatilsynets vurdering af Middelfart Kommunes brist af IT-sikkerheden på institutionen Vestbo i 2015

BRUD RESULTERER I FORHØJET IT-SIKKERHED: Et brud på IT-sikkerheden i det interne system ”ISAP” på institutionen Vestbo den 25. oktober 2015 var en overtrædelse af persondataloven og sikkerhedsbekendtgørelsen, fastslår Datatilsynet.

Middelfart Kommune lukkede systemet samme dag fejlen blev opdaget og har siden taget det ud af drift. Kommunen er enig i Datatilsynets vurdering. Sagen er alvorlig og derfor har byrådet iværksat en 16-punktsplan, som bl.a. indebærer en gennemgang af øvrige IT-systemer og uddannelse i persondatalov af samtlige administrative medarbejdere.

Middelfart Kommune anerkender den alvorlige fejl, som i efteråret 2015 var skyld i at uvedkommende via en google-søgning kunne skaffe sig adgang til et internt system til registrering af arbejdsskader. Datatilsynet blev dengang bekendt med, at fortrolige og følsomme personoplysninger havde været tilgængelige. Den 20. november 2015 kom Middelfart Kommune efter anmodning fra Datatilsynet med en udtalelse i sagen.

Nu vender Datatilsynet tilbage med deres vurdering af sagen. Stabschef Martin Albersen fortæller:
”Datatilsynet har i den forgangne uge bekræftet os i, at det brist af IT-sikkerheden vi havde på Vestbo den 25. oktober 2015 var alvorligt. Vi er om nogen kede af, at det kunne ske. Systemet ISAP, hvori fejlen opstod, var et internt system til registrering af arbejdsskader, som en medarbejder fik åbnet op ved en fejl. Fejlen betød, at uvedkommende kunne søge et link frem via google, og ad den vej få adgang til systemet og personfølsomme oplysninger på personale og beboere. Vi er enige i Datatilsynets vurdering af sagen, og har siden fejlen opstod arbejdet fokuseret på at gennemgå vores øvrige systemer og de ansattes arbejdsgange”.

Datatilsynets bemærkninger bidrager ikke med nogen ny viden i sagen, men bekræfter Middelfart Kommunes egne undersøgelser.

Datatilsynet: Særdeles kritisable overtrædelser
Datatilsynet konstaterer, at persondataloven og sikkerhedsbekendtgørelsen er tilsidesat på følgende punkter: 

  • Middelfart Kommune har ikke truffet de fornødne sikkerhedsforanstaltninger omkring det omhandlede it-system. Kommunen har således ikke efterlevet persondatalovens § 41, stk. 3 og en række detaljerede krav i sikkerhedsbekendtgørelsen. 
  • Manglende kontrol med databehandlere. Middelfart kommune har ikke efterlevet persondatalovens § 42, stk. 1
  • Manglende skriftlig databehandleraftaler med de anvendte databehandlere. Middelfart Kommune har ikke efterlevet persondatalovens § 42, stk. 2.

Stabschef Martin Albertsen uddyber: ”Vi er klar over og enig i Datatilsynets opfattelse af, at der er tale om meget omfattende mangler i vores efterlevelse af persondataloven og sikkerhedsbekendtgørelsen i forhold til et it-system med følsomme personoplysninger. Vi skulle have haft en databehandleraftale med leverandøren af systemet, sørget for bedre uddannelse af brugere, haft brugeridentifikation og unikke passwords, samt sikret logning af brugeraktivitet. Derfor har Datatilsynet med god grund vurderet, at der er tale om særdeles kritisable overtrædelser af persondataloven og sikkerhedsbekendtgørelsen.”

Et system er ikke mere sikkert end de mennesker, som håndterer det
I forvejen har Middelfart Kommune et højt sikkerhedsniveau og Byrådet har tidligere godkendt en IT-sikkerhedspolitik og 7. december 2015 fulgte således en 16-punktsplan for yderligere tiltag for at højne IT-sikkerheden i kommunen. ”Vi skal fra centralt hold stille høje krav til vores systemleverandører og sikre, at reglerne bliver overholdt. Samtidigt sætter vi ind med uddannelse af vores brugere. Alt er afhængigt af brugernes awareness både på sagsbehandlerniveau og i forhold til de medarbejdere, der er systemejere på forskellige IT-systemer. Vi har rettet op på fejlen, og lært meget. Nu gør vi alt, hvad vi kan for at sikre, at den slags ikke sker igen – vel vidende, at der sidder mennesker bag tasterne”, slutter stabschef Martin Albertsen.

Forhøjet IT-sikkerhed
På baggrund af sikkerhedshændelsen på Vestbo har Byrådet besluttet sig for at iværksætte yderligere tiltag i forbindelse med at oppebære et højt it-sikkerhedsniveau. Der er tale om 15 punkter under 5 hovedtemaer: 

  • Systemidentifikation 
  • Godkendelse og fornyet godkendelse af systemer 
  • Uddannelse og instruktion 
  • Eksekvering af uddybende sikkerhedsbestemmelser 
  • Revision

Erfaringer deles med andre kommuner
Middelfart Kommune er ikke den eneste kommune, som bruger systemet ISAP, derfor vil Datatilsynet også sende deres udtalelsen om sagen i Middelfart til KL. Det sker med en anmodning om, at KL bistår med at gøre andre kommunerne bekendt med de problemer med ISAP, der er konstateret i denne sag.

Bilag:

Yderligere oplysninger
Stabschef Martin Albertsen. Tlf.: 2343 9015.

15.marts 2016