Åbne personalefiler var databrud
En virksomhed, der udførte beredskabsopgaver, anmeldte et brud på datasikkerheden. Bruddet var udløst af, at alle 194 brugere af et internt system fejlagtigt havde adgang til nuværende og fratrådte medarbejderes personoplysninger. Det førte til kritik fra Datatilsynet.
I næsten syv måneder havde alle medarbejdere med systemadgang haft adgang til lidt for mange oplysninger om 2029 nuværende og tidligere kollegaer. Personoplysningerne omfattede både fulde navne, personnumre og adresser, herunder beskyttede adresser. HR-afdelingen brugte kontaktoplysningerne i forbindelse med personalesager.
Virksomheden gav Datatilsynet besked om, at systemadgangen ved en fejl ikke var blevet tildelt efter, hvem der havde et arbejdsbetinget behov. Hverken virksomheden eller leverandøren af systemet havde været opmærksomme på organiseringen af adgangsrettighederne. En intern undersøgelse viste, at seks brugere havde tilgået oplysningerne uden grund.
Adgangsrettigheder blev glemt
Datatilsynet udtalte kritik og bemærkede, at kun medarbejdere i HR-afdelingen havde haft brug for adgang til systemet. Virksomheden havde tilsidesat pligten til at sikre de nødvendige sikkerhedsforanstaltninger.
Virksomheden var ansvarlig for at identificere de risici, som behandlingsaktiviteten udløste og for at sikre, at der var et passende sikkerhedsniveau. Datatilsynet understregede, at det som et klart udgangspunkt indebærer, at systemadgange er begrænset til brugernes arbejdsbetingede behov.
IUNO mener
Der er mange eksempler på, at virksomheder roder sig ud i databrud alene på grund af manglende tekniske og organisatoriske foranstaltninger. Det kan være som led i en softwareopdatering, som det var her, eller manglende træning af medarbejdere, som det var her.
IUNO anbefaler, at virksomheder sikrer den nødvendige sikkerhed gennem design og standardindstillinger. I den forbindelse kan det blandt andet være nødvendigt løbende at klarlægge hvilke systemer, der bliver brugt i virksomheden. Det skal også være klart, hvem der er ansvarlig for hvad, og hvordan systemerne fungerer.
[Datatilsynets afgørelse af den 22. marts 2023 i sag nr. 2022-442-21566]
I næsten syv måneder havde alle medarbejdere med systemadgang haft adgang til lidt for mange oplysninger om 2029 nuværende og tidligere kollegaer. Personoplysningerne omfattede både fulde navne, personnumre og adresser, herunder beskyttede adresser. HR-afdelingen brugte kontaktoplysningerne i forbindelse med personalesager.
Virksomheden gav Datatilsynet besked om, at systemadgangen ved en fejl ikke var blevet tildelt efter, hvem der havde et arbejdsbetinget behov. Hverken virksomheden eller leverandøren af systemet havde været opmærksomme på organiseringen af adgangsrettighederne. En intern undersøgelse viste, at seks brugere havde tilgået oplysningerne uden grund.
Adgangsrettigheder blev glemt
Datatilsynet udtalte kritik og bemærkede, at kun medarbejdere i HR-afdelingen havde haft brug for adgang til systemet. Virksomheden havde tilsidesat pligten til at sikre de nødvendige sikkerhedsforanstaltninger.
Virksomheden var ansvarlig for at identificere de risici, som behandlingsaktiviteten udløste og for at sikre, at der var et passende sikkerhedsniveau. Datatilsynet understregede, at det som et klart udgangspunkt indebærer, at systemadgange er begrænset til brugernes arbejdsbetingede behov.
IUNO mener
Der er mange eksempler på, at virksomheder roder sig ud i databrud alene på grund af manglende tekniske og organisatoriske foranstaltninger. Det kan være som led i en softwareopdatering, som det var her, eller manglende træning af medarbejdere, som det var her.
IUNO anbefaler, at virksomheder sikrer den nødvendige sikkerhed gennem design og standardindstillinger. I den forbindelse kan det blandt andet være nødvendigt løbende at klarlægge hvilke systemer, der bliver brugt i virksomheden. Det skal også være klart, hvem der er ansvarlig for hvad, og hvordan systemerne fungerer.
[Datatilsynets afgørelse af den 22. marts 2023 i sag nr. 2022-442-21566]
