Journalnummer: 2022-442-19476
Resume
Datatilsynet har truffet afgørelse i en sag, hvor Aalborg Universitet har anmeldt et brud på persondatasikkerheden.
Aalborg Universitet konstaterede, at det i flere år – sandsynligvis siden 2020 og frem til august 2022 – havde været muligt for alle med en AAU-brugerprofil (studerende, medarbejdere og gæstemedarbejdere) at tilgå ikke-følsomme oplysninger om universitetets medarbejdere i et system. Systemet havde således ikke haft den nødvendige adgangsbegrænsning, da det kun er IT-medarbejdere på universitetet, der har behov for at anvende systemet i deres daglige arbejde.
I den pågældende sag oplyste Aalborg Universitet, at der i forbindelse med migrering til ny server og omskrivning af kode i systemet i sommeren 2020 højst sandsynligt er sket en menneskelig fejl, idet der ikke er foretaget testning af adgangskontrol i systemet efterfølgende. I den forbindelse har Aalborg Universitet oplyst, at universitetets retningslinjer ikke er blevet fulgt.
Datatilsynet har i sin afgørelse lagt vægt på, at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen. Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Aalborg Universitet den 5. august 2022 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
5f79a4018d799ef0ca0082ef55449e0afc62609f.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Aalborg Universitet har den 5. august 2022 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at det i en ukendt periode og frem til den 3. august 2022 har været muligt for alle med en AAU-brugerprofil (studerende, medarbejdere og gæstemedarbejdere) at logge på it-systemet Webmanageren. Systemet har således ikke haft den nødvendige adgangsbegrænsning, da det kun er IT-medarbejdere, som har behov for at anvende programmet i deres daglige arbejde.
Aalborg Universitet har til sagen oplyst, at it-systemet Webmanageren indeholder oplysninger om universitets medarbejdere, og at langt de fleste oplysninger allerede er offentliggjort på Aalborg Universitets hjemmeside eller internt i Outlook eller Aalborg Universitets intranet, hvor alle medarbejdere har adgang. Derudover indeholder systemet tekniske oplysninger om f.eks. medarbejderprofilens oprettelse, sidste login og ændringer.
Det fremgår af sagen, at det ikke er muligt for Aalborg Universitet at klarlægge med sikkerhed, om der er tale om en teknisk eller menneskelig fejl, der er årsag til hændelsen.
Aalborg Universitet har videre oplyst, at der i forbindelse med migrering til ny server og omskrivning af kode i Webmanager-systemet i sommeren 2020 højst sandsynligt er sket en menneskelig fejl, idet der ikke er foretaget testning af adgangskontrol i Webmanager-systemet efterfølgende. I den forbindelse har Aalborg Universitet oplyst, at Aalborg Universitets retningslinjer ikke har været fulgt.
Aalborg Universitet har til sagen oplyst, at varigheden af hændelsen er ukendt, men at det formentligt har været fra december 2020 til, at Aalborg Universitet konstaterer fejlen den 3. august 2022. Det fremgår endvidere af sagen, at Aalborg Universitet på baggrund af log-oplysninger tilbage fra maj 2019 har konstateret, at der første gang i februar 2020 er foretaget en søgning i Webmanager-systemet af en medarbejder, der ikke er IT-medarbejder. Aalborg Universitet har i den forbindelse oplyst, at de har konstateret, at der er foretaget søgninger på 7 personer i Webmanager-systemet af medarbejdere på Aalborg Universitet, som ikke er IT-medarbejdere.
Det fremgår videre af sagen, at der foreligger en procedurebeskrivelse, der senest er opdateret den 26. august 2021, hvor det fremgår, at der ved implementering er blevet opsat adgangsbegrænsning, så det kun er IT-medarbejdere, der havde adgang til programmet.
Aalborg Universitet har endvidere oplyst, at de ikke har haft anledning til at tjekke, at adgangsbegrænsningerne var forsvundet, da det tidligere har været dokumenteret, at der var konfigureret adgangsbegrænsninger på Webmanager-systemet.
Aalborg Universitet har til sagen oplyst, at de 29 minutter efter konstateringen af hændelsen lukkede alle adgange til Webmanager-systemet ned for at afhjælpe fejlen. Adgangsbegrænsningen blev sikret og testet, inden der blev åbnet for adgangen igen. Det blev således sikret, at det kun er autoriserede medarbejdere, der har adgang.
Det fremgår videre af sagen, at Aalborg Universitets IT-afdeling har faste procedurer for teknisk opsætning, test og brug af adgangsbegrænsninger ved implementering af ny software, og at IT-medarbejderne er instrueret i disse procedurer.
Datatilsynet har til brug for behandling af sagen bedt Aalborg Universitet fremsende daterede kopier af de omtalte procedurebeskrivelser. Aalborg Universitet har herefter fremsendt uddrag af universitetets politik for informationssikkerhed samt sikkerhedshåndbog, hvor kravene til adgangsstyring fremgår. Datatilsynet kan konstatere, at de nærmere procedurer for bl.a. test af adgangsbegrænsning imidlertid ikke fremgår af det fremsendte materiale.
Aalborg Universitet har endvidere oplyst, at Webmanager-systemet ikke er kendt eller umiddelbart tilgængeligt for andre end IT-medarbejdere, da det vil kræve kendskab til en teknisk sti til programmet. Derudover skal brugeren logge ind med sin AAU-bruger.
Det fremgår videre af sagen, at Aalborg Universitet gennemgår deres procedurer med henblik på at vurdere, om der kan foretages skærpede tiltag for at undgå lignende tilfælde fremadrettet.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Aalborg Universitet oplyste af 5. august og 13. december 2022 til grund, at det i en ukendt periode og frem til den 3. august 2022 har været muligt for alle med en AAU-brugerprofil (studerende, medarbejdere og gæstemedarbejdere) at logge på it-systemet Webmanageren og tilgå oplysninger om Aalborg Universitets medarbejdere.
Datatilsynet lægger på den baggrund til grund, at der er sket uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at når der foretages migrering til ny server og omskrivning af kode i et system, der behandler personoplysninger, skal ændringerne ske efter fastsatte procedurer, hvorved de mulige konsekvenser ved ændringerne overvejes. Kravet vil endvidere indebære, at der skal planlægges test, der kan verificere, at de fastsatte sikkerhedskrav, herunder adgangsbegrænsning, fortsat er opfyldt efter, at ændringerne er gennemført.
Det er desuden Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer, om brugeradgange til systemer med personoplysninger er begrænset til de brugere, der har et sagligt behov for adgang til oplysningerne i systemet.
Datatilsynet skal i den forbindelse bemærke, at rettighedsstyring i systemer med personoplysninger skal forhindre uautoriseret adgang til personoplysninger samt uautoriseret ændring eller tab af personoplysninger i systemet i tilfælde, hvor brugere har adgang til at ændre eller slette oplysninger.
Datatilsynet finder på ovenstående baggrund, at Aalborg Universitet – ved ikke at have foretaget de fornødne test efter ændringer i systemet samt ikke at have ført tilstrækkelig løbende kontrol af brugeradgange – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Aalborg Universitets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at det er en forudsætning for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter en ændring eller opdatering heraf, at der foretages test i forbindelse med sådanne ændringer eller opdateringer.
Datatilsynet har videre lagt vægt på, at uvedkommende har haft adgang til Webmanager-systemet i flere år – sandsynligvis siden 2020 –, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange til systemet.
Datatilsynet har noteret sig, at Aalborg Universitet vil gennemgå deres procedurer med henblik på at vurdere, om der kan foretages skærpende tiltag for at undgå lignende tilfælde fremadrettet.
3.2. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).