Åbne personalefiler var databrud

I næsten syv måneder havde alle medarbejdere med systemadgang haft adgang til lidt for mange oplysninger om 2029 nuværende og tidligere kollegaer. Personoplysningerne omfattede både fulde navne, personnumre og adresser, herunder beskyttede adresser. HR-afdelingen brugte kontaktoplysningerne i forbindelse med personalesager.

Virksomheden gav Datatilsynet besked om, at systemadgangen ved en fejl ikke var blevet tildelt efter, hvem der havde et arbejdsbetinget behov. Hverken virksomheden eller leverandøren af systemet havde været opmærksomme på organiseringen af adgangsrettighederne. En intern undersøgelse viste, at seks brugere havde tilgået oplysningerne uden grund.

Adgangsrettigheder blev glemt

Datatilsynet udtalte kritik og bemærkede, at kun medarbejdere i HR-afdelingen havde haft brug for adgang til systemet. Virksomheden havde tilsidesat pligten til at sikre de nødvendige sikkerhedsforanstaltninger.

Virksomheden var ansvarlig for at identificere de risici, som behandlingsaktiviteten udløste og for at sikre, at der var et passende sikkerhedsniveau. Datatilsynet understregede, at det som et klart udgangspunkt indebærer, at systemadgange er begrænset til brugernes arbejdsbetingede behov.

IUNO mener

Der er mange eksempler på, at virksomheder roder sig ud i databrud alene på grund af manglende tekniske og organisatoriske foranstaltninger. Det kan være som led i en softwareopdatering, som det var her, eller manglende træning af medarbejdere, som det var her.

IUNO anbefaler, at virksomheder sikrer den nødvendige sikkerhed gennem design og standardindstillinger. I den forbindelse kan det blandt andet være nødvendigt løbende at klarlægge hvilke systemer, der bliver brugt i virksomheden. Det skal også være klart, hvem der er ansvarlig for hvad, og hvordan systemerne fungerer.