Datatilsynet har udtalt kritik af et universitet for manglende adgangsbegrænsning i et IT-system, som i en ukendt periode gjorde medarbejderoplysninger tilgængelige for brugere uden korrekt autorisation. Kritikken bygger på kravet om passende tekniske og organisatoriske sikkerhedsforanstaltninger efter databeskyttelsesforordningen, særligt behandlingssikkerheden i artikel 32, samt grundlæggende ansvar for den dataansvarlige.
Grundlaget for kritikken
Universitetet havde gennemført tekniske ændringer i 2020 uden efterfølgende at verificere, at adgangsniveauer fortsat var korrekt konfigureret og i overensstemmelse med interne retningslinjer. Fejlen blev først opdaget i 2022, hvorefter adgangsbegrænsninger blev genetableret. Datatilsynet lagde vægt på den ukendte – og potentielt lange – eksponeringsperiode og fraværet af løbende kontrol med brugeradgange.
Myndigheden understregede, at passende sikkerhed ikke alene handler om design, men også om drift: Når systemer, der behandler personoplysninger, ændres, skal ændringer gennemføres efter en fast procedure med forudgående konsekvensovervejelser og efterfølgende test, så kravene fortsat er opfyldt. Det følger af forordningen om behandlingssikkerhed, jf. GDPR, som kan læses på EUR-Lex.
Praktiske implikationer
Sagen tydeliggør behovet for formaliseret ændringsstyring, dokumenteret autorisationsstyring og periodisk recertificering af brugeradgange. Der bør etableres systematisk logning, driftsnære kontroller og risikobaseret test efter ændringer. Varighed af uautoriseret tilgængelighed indgår væsentligt i tilsynets vurdering.
Dataansvarlige bør sikre opdaterede politikker og kontroller, klare roller og ansvar, samt dokumentere efterlevelsen. Henvisning til retsgrundlaget findes i databeskyttelsesforordningen på EUR-Lex (Regulering 2016/679) og den danske databeskyttelseslov på Retsinformation (LBK om databeskyttelse).
