DA
Teknologi

Åbne personalefiler var databrud

logo
Juranyt
calendar 14. september 2023
globus Danmark

En virksomhed, der udførte beredskabsopgaver, anmeldte et brud på datasikkerheden. Bruddet var udløst af, at alle 194 brugere af et internt system fejlagtigt havde adgang til nuværende og fratrådte medarbejderes personoplysninger. Det førte til kritik fra Datatilsynet.

I næsten syv måneder havde alle medarbejdere med systemadgang haft adgang til lidt for mange oplysninger om 2029 nuværende og tidligere kollegaer. Personoplysningerne omfattede både fulde navne, personnumre og adresser, herunder beskyttede adresser. HR-afdelingen brugte kontaktoplysningerne i forbindelse med personalesager.

Virksomheden gav Datatilsynet besked om, at systemadgangen ved en fejl ikke var blevet tildelt efter, hvem der havde et arbejdsbetinget behov. Hverken virksomheden eller leverandøren af systemet havde været opmærksomme på organiseringen af adgangsrettighederne. En intern undersøgelse viste, at seks brugere havde tilgået oplysningerne uden grund.

Adgangsrettigheder blev glemt

Datatilsynet udtalte kritik og bemærkede, at kun medarbejdere i HR-afdelingen havde haft brug for adgang til systemet. Virksomheden havde tilsidesat pligten til at sikre de nødvendige sikkerhedsforanstaltninger.

Virksomheden var ansvarlig for at identificere de risici, som behandlingsaktiviteten udløste og for at sikre, at der var et passende sikkerhedsniveau. Datatilsynet understregede, at det som et klart udgangspunkt indebærer, at systemadgange er begrænset til brugernes arbejdsbetingede behov.

IUNO mener

Der er mange eksempler på, at virksomheder roder sig ud i databrud alene på grund af manglende tekniske og organisatoriske foranstaltninger. Det kan være som led i en softwareopdatering, som det var her, eller manglende træning af medarbejdere, som det var her.

IUNO anbefaler, at virksomheder sikrer den nødvendige sikkerhed gennem design og standardindstillinger. I den forbindelse kan det blandt andet være nødvendigt løbende at klarlægge hvilke systemer, der bliver brugt i virksomheden. Det skal også være klart, hvem der er ansvarlig for hvad, og hvordan systemerne fungerer.

[Datatilsynets afgørelse af den 22. marts 2023 i sag nr. 2022-442-21566]

I næsten syv måneder havde alle medarbejdere med systemadgang haft adgang til lidt for mange oplysninger om 2029 nuværende og tidligere kollegaer. Personoplysningerne omfattede både fulde navne, personnumre og adresser, herunder beskyttede adresser. HR-afdelingen brugte kontaktoplysningerne i forbindelse med personalesager.

Virksomheden gav Datatilsynet besked om, at systemadgangen ved en fejl ikke var blevet tildelt efter, hvem der havde et arbejdsbetinget behov. Hverken virksomheden eller leverandøren af systemet havde været opmærksomme på organiseringen af adgangsrettighederne. En intern undersøgelse viste, at seks brugere havde tilgået oplysningerne uden grund.

Adgangsrettigheder blev glemt

Datatilsynet udtalte kritik og bemærkede, at kun medarbejdere i HR-afdelingen havde haft brug for adgang til systemet. Virksomheden havde tilsidesat pligten til at sikre de nødvendige sikkerhedsforanstaltninger.

Virksomheden var ansvarlig for at identificere de risici, som behandlingsaktiviteten udløste og for at sikre, at der var et passende sikkerhedsniveau. Datatilsynet understregede, at det som et klart udgangspunkt indebærer, at systemadgange er begrænset til brugernes arbejdsbetingede behov.

IUNO mener

Der er mange eksempler på, at virksomheder roder sig ud i databrud alene på grund af manglende tekniske og organisatoriske foranstaltninger. Det kan være som led i en softwareopdatering, som det var her, eller manglende træning af medarbejdere, som det var her.

IUNO anbefaler, at virksomheder sikrer den nødvendige sikkerhed gennem design og standardindstillinger. I den forbindelse kan det blandt andet være nødvendigt løbende at klarlægge hvilke systemer, der bliver brugt i virksomheden. Det skal også være klart, hvem der er ansvarlig for hvad, og hvordan systemerne fungerer.

[Datatilsynets afgørelse af den 22. marts 2023 i sag nr. 2022-442-21566]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
HR-jura Teknologi

11. marts 2024

Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet

logo
Teknologi

16. februar 2024

Varehus fik millionbøde for kontrol med medarbejdere

logo
Teknologi

28. september 2023

Syv bud til når arbejdsmailen skal lukkes

logo
Teknologi

14. september 2023

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Teknologi

31. august 2023

Ny vejledning fra Datatilsynet om direkte markedsføring

logo
Teknologi

8. juni 2023

Alvorlig kritik og påbud efter uorden med værktøjskasse

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)