Kommunalansats lagring af følsomme oplysninger på åben netværksharddisk får kritik af Datatilsynet

En sag fra Odder Kommune, hvor uvedkommende har kunnet få adgang til følsomme oplysninger lagret på en medarbejders private NAS, får Datatilsynet til at kritisere kommunen.

Datatilsynet finder det kritisabelt, at følsomme personoplysninger, som Odder Kommune er dataansvarlig for, har været lagret på en medarbejders private it-udstyr, hvor kommunen ikke har kontrol med datasikkerheden. Det fremgår af en afgørelse dateret 3. september 2016.

Sagen udspringer af en fortælling fra Ekstra Bladet sidste år, hvor det kom frem, at en medarbejder hos Odder Kommune havde taget følsomme oplysninger om medarbejdere i kommunen med sig hjem på en USB-nøgle. Oplysningerne var herefter blevet gemt på, hvad Datatilsynet kalder en privat server.

Ifølge Ekstra Bladets artikel fra november 2015 var der tale om en netværksharddisk. Af artiklen fremgår det desuden, at datamaterialet har omhandlet samtaler mellem psykisk nedbrudte medarbejdere fra kommunen og en kommunalt ansat stresskonsulent.

»Herefter blev oplysningerne tilgængelige for uvedkommende, ifølge Odder Kommune fordi en anonym person hackede sig ind på serveren. Den anonyme person oplyste selv direkte til medarbejderen, at der lå følsomme personoplysninger på serveren, og anbefalede medarbejderen at få det slettet, hvilket medarbejderen straks gjorde,« står der i afgørelsen fra Datatilsynet.

Ekstra Bladet oplyser, at netværksharddisken ikke været beskyttet med et kodeord, og samtidig har den været tilgængelig fra internettet. Så alle med en internetadgang har i udgangspunktet kunnet tilgå oplysningerne.

Intensiveret indsats

På baggrund af sagen opfordrer Datatilsynet Odder Kommune til at intensivere sin indsats med at sikre, »at kommunens retningslinjer om, at personoplysninger, som kommunen er dataansvarlig for, ikke må behandles på medarbejderes private it-udstyr, er kendt og overholdes af alle medarbejdere.«

Og så opfordrer tilsynet kommunen til at fastsætte «retningslinjer for, hvorvidt og i givet fald under hvilke sikkerhedsforanstaltninger oplysninger fra kommunens systemer må kopieres over på USB-nøgler.«

Derudover har Datatilsynet fundet anledning til at indskærpe overfor Odder Kommune, at kommunens informationssikkerhedshåndbog, som udgør kommunens uddybende sikkerhedsregler, skal gennemgås mindst én gang hvert år.

Odder Kommune er ifølge afgørelsen noget frem til, at det ikke er nødvendigt at informere de berørte personer individuelt. Den beslutning bakker Datatilsynet op om med følgende begrundelse:

»Datatilsynet har herved lagt vægt på det oplyste om dokumenternes alder, samt at det alene er kommunens arbejdspsykolog, der har kunnet identificere de berørte personer, idet dokumenterne var delvist anonymiserede.«