Datatilsynet har udtalt kritik af en virksomhed, hvor personalefiler i et HR-system var åbne for medarbejdere uden arbejdsbetinget behov i næsten syv måneder. Oplysninger om 2029 nuværende og tidligere ansatte, herunder fulde navne, personnumre og beskyttede adresser, var tilgængelige, og seks brugere tilgik data uden saglig grund.
Datatilsynets vurdering
Tilsynet lagde vægt på, at alene HR burde have haft adgang. Virksomheden tilsidesatte kravene om passende sikkerhedsforanstaltninger efter GDPR, herunder at identificere risici og begrænse adgange efter behovsprincippet. Vurderingen relaterer sig særligt til principperne i GDPR art. 5 samt kravene om indbygget og standarddatabeskyttelse og behandlingssikkerhed i art. 25 og art. 32.
Virksomheden er som dataansvarlig forpligtet til at sikre mindst mulig adgang, løbende kontrol af rettigheder og effektiv logning.
Praktiske implikationer
Sagen understreger behovet for systematisk adgangsstyring, klare roller og ansvar, samt træning af medarbejdere. Virksomheder bør kortlægge systemlandskabet, indføre rollebaseret adgang, etablere kontrol- og logprocesser og sikre hurtig brudunderretning ved hændelser.
En robust governance-model med tekniske og organisatoriske foranstaltninger reducerer risikoen for brud og myndighedskritik.
