Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger

Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger
IUNO logo
En softwareopdatering på et universitets HR-system nulstillede systemets rettighedsstyring. Det betød, at alle universitetets tusinder af ansatte pludselig kunne se over 400 jobansøgninger i systemet. Softwareopdateringen var ikke blevet testet før den var taget i brug, og det mente Datatilsynet var for dårligt. Fejlen var et brud på pligten til at sikre et tilstrækkeligt sikkerhedsniveau under databeskyttelsesreglerne.

På et universitet fungerede det interne HR-system blandt andet sådan, at ansatte fik tildelt en ”rolle” for at få adgang til jobansøgninger. Hvilken rolle der blev tildelt og til hvem afhang af den enkelte ansættelsesproces.


I forbindelse med en opdatering af HR-systemet, blev rettighedsstyringen dog nulstillet ved en fejl. Den tidligere styring via rollefordelingen forsvandt i den forbindelse. Konsekvensen var, at 7011 ansatte på universitetet i princippet kunne se de ansøgninger, der før krævede adgang via en særlig rolle. Fordi der ikke blev ført log i systemet, var det ikke muligt at kontrollere om ansøgningerne var blevet tilgået eller ej.


Universitetet havde ikke testet opdateringen først, fordi der ikke var noget der pegede på, at der ville ske ændring i rettighedsstyringen. Leverandøren af softwaren, der også var ansvarlig for implementeringen af den, havde ikke givet nogen form for besked herom. Derfor var der ikke blevet udført en 14 dages test, som ellers ville have været den normale praksis.


Ingen udvej at bebrejde software-leverandøren

Hændelsen var et brud på databeskyttelsessikkerheden, i strid med databeskyttelsesreglerne. Universitetet havde tilsidesat sin pligt til at sikre et tilstrækkeligt sikkerhedsniveau.


Universitetet skulle have identificeret den risiko, som udviklingen og tilpasningen af IT-løsningen indebar.


Eksempelvis skulle løsningen have været testet først, for at tjekke om den indeholdt problemer, der kunne medføre eksempelvis tab, ændring, uautoriseret videregivelse eller adgang til personoplysningerne i systemet. Det var universitetets ansvar selv at undersøge de potentielle konsekvenser ved opdateringen, uanset hvilke oplysninger software-leverandøren havde givet på forhånd.


Universitetet skulle også have foretaget en vurdering af den behandling som ændringerne kunne medføre. Eksempelvis skulle universitetet have overvejet risikoen for nulstilling eller ændring af rettighedsstyringen, uanset at den risiko ikke fremgik af opdateringen på forhånd.


Den manglende forhåndstest af opdateringen udløste alvorlig kritik fra Datatilsynet. Datatilsynet understregede, at det vejede tungt, at der ikke blev ført logs på se-adgang, at der var tale om et stort antal ansatte og et omfattende ansøgningsmateriale, der både indeholdt personnumre og helbredsoplysninger. Databruddet var her særlig slemt for de interne ansøgere.


IUNO mener

Det er ikke første gang Datatilsynet understreger, at rollen som dataansvarlig indebærer, at virksomheder har det fulde ansvar for sikkerhedsniveauet og at det blandt andet omfatter, at alle systemopdateringer mv. er helt sikre, og at alle potentielle risici er analyseret, før opdateringen implementeres.


IUNO anbefaler, at virksomheder har faste retningslinjer på plads, der blandt andet fastsætter sikre og omfattende procedurer for test af opdateringer, inden de indføres. Retningslinjerne bør etablere en proces hvorefter alle sandsynlige fejlscenarier testes i forbindelse med udvikling, opdatering og anden ændring af software, hvor der behandles personoplysninger, før et tilstrækkeligt sikkerhedsniveau er på plads.


[Datatilsynets afgørelse af den 12. maj 2022 i sag nr. 2021-442-13989]

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Uddannelsesjurist søges til Det Samfundsvidenskabelige Fakultet
Jobcenter Varde søger 1 jura studentermedhjælper (genopslag)
Jurister med EU-profil til lovfortolkning og forvaltning af erhvervsfremmeprojekter i Erhvervsstyrelsen i Silkeborg
Jurist (med mulighed for deltid)
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2022 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted