Datatilsynet udtaler kritik af Aalborg Universitet for utilstrækkelig behandlingssikkerhed. I flere år kunne alle med AAU-login tilgå et internt system med medarbejderoplysninger, som alene var tiltænkt IT-personale. Fejlen opstod i forbindelse med servermigrering og kodeændringer i 2020, hvor adgangskontrol ikke blev testet, og interne retningslinjer ikke blev fulgt.
Tilsynet lægger vægt på, at dataansvarlige skal gennemføre test efter ændringer og løbende føre kontrol med brugerrettigheder for at sikre, at tekniske og organisatoriske foranstaltninger fortsat fungerer. Langvarig adgang for uvedkommende indikerer mangelfuld adgangsstyring og efterlevelse af GDPR’s krav om passende sikkerhed, herunder integritet og fortrolighed.
Afgørelsen illustrerer behovet for systematisk ændringsstyring, dokumenteret adgangsreview og sporbar logning. Se afgørelsen hos Datatilsynet her. Oplysnings- og designkrav til behandlingssikkerhed er uddybet i tilsynets vejledning om databeskyttelse gennem design og standardindstillinger her.
