Kommune får kritik for deres sikkerhedsprocedurer

Fysisk kontrolbesøg efteråret 2023
Datatilsynet gennemførte i efteråret 2023 et tilsyn hos Kerteminde Kommune. Fokusområderne for tilsynet omfattede logning og logkontrol, interne procedurer for håndtering, anmeldelse og registrering af brud på persondatasikkerhed. Derudover blev der også set nærmere på brug af auto-complete, test af backup og beredskaber, procedurer for sletning samt konsekvensanalyser.

I sin vurdering konkluderede Datatilsynet, at Kerteminde Kommune ikke havde etableret faste procedurer for løbende kontrol af logfiler, eksempelvis i form af stikprøvekontroller. Sådanne kontroller er nødvendige for at sikre, at kun medarbejdere med arbejdsrelateret behov får adgang til oplysninger. Kommunen udførte kun logkontroller i tilfælde af konkret mistanke om misbrug.

Datatilsynet udtaler kritik
Datatilsynet udtrykte derfor kritik af, at kommunen ikke havde implementeret tilstrækkelige sikkerhedsforanstaltninger.

I forhold til andre områder fremhævede Datatilsynet behovet for, at kommunen fortsætter arbejdet med at udvikle politikker og procedurer for sletning i både fagsystemer og løst tilknyttede systemer. Desuden blev det påpeget, at kommunen bør fortsætte afdækningen af behandlingsaktiviteter, som kræver konsekvensanalyser, og i den forbindelse udarbejde en plan for gennemførelse af disse analyser.

Læs mere om se hele afgørelsen på Datatilsynets hjemmeside her