Datatilsynet revser kommune: Gæstekonto gav adgang til persondata

Middelfart Kommune bliver kritiseret af Datatilsynet for lemfældig omgang med personfølsomme data. Lovovertrædelser er særdeles kritisable, bemærker tilsynet.

Personfølsomme oplysninger har i årevis været tilgængelige for uvedkommende gennem et it-system i Middelfart Kommune.

På baggrund af en redegørelse fra kommunen, har Datatilsynet konstateret, at man siden 2008 har behandlet personlige oplysninger i et system, der langt fra lever op til datalovgivningen. Det fremgår af styrelsens afgørelse, som netop er blevet offentliggjort.

Læs også: Datatilsynet har øje på fax i sundhedssektoren

Middelfart Kommune har med it-systemet ISAP ikke truffet de nødvendige sikkerhedsforanstaltninger, lyder afgørelsen. Blandt andet har enhver på bostedet Vestbo kunne logge på systemet med en gæstekonto, der ikke kræver kodeord. Et link til kontoen blev efterfølgende gjort tilgængeligt online.

Gennem kontoen har man haft adgang til medarbejdernes arbejdsskadesager, oplyser kommunen.

Læs også: Datatilsynet kritiserer flere myndigheder for at dele mainframe og diske hos CSC

Kommunens it-brøde består desuden i manglende logning af afviste adgangsforsøg og manglende kontrol med bruger-autoriseringer. Endelig har kommunen tilsyneladende ikke haft nogle skriftlige aftaler med databehandlere, som Persondataloven kræver.

Alt i alt er der tale ‘omfattende mangler i Middelfart Kommunes efterlevelse af persondataloven og sikkerhedsbekendtgørelsen i forhold til et it-system med følsomme personoplysninger,’ skriver Datatilsynet, der kalder overtrædelserne særdeles kritisable.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.