Tre politikredse får kritik for manglende behandlingssikkerhed

Dato: 17-05-2024

Datatilsynet har afsluttet tilsyn med tre udvalgte politikredses brugerstyring og kontrol med brugernes anvendelse (”logkontrol”) af politiets sagsstyringssystem POLSAS. Datatilsynet fandt i alle tre tilfælde anledning til at udtale kritik pga. utilstrækkelig logkontrol.

Journalnummer: 2023-813-0002.

FYNS POLITI.

Resumé

I 2021 indledte Datatilsynet skriftlige tilsyn med henholdsvis Nordjyllands Politi, Fyns Politi og Bornholms Politis brugerstyring og logkontrol af politiets sagsstyringssystem POLSAS, idet der behandles store mængder af personoplysninger i systemet, herunder oplysninger om strafbare forhold.

Valget af de tre politikredse skyldes, at de varierer i størrelsen, og at de er udtryk for en geografisk spredning.

Politikredsenes oplysninger om brugerstyring i POLSAS – dvs. administration af adgangsrettigheder, herunder hvordan adgangsrettigheder tildeles og afmeldes – gav ikke Datatilsynet anledning til bemærkninger.

Kritik af utilstrækkelig logkontrol

Datatilsynet fandt imidlertid anledning til at udtale kritik af, at politikredsenes logkontrol ikke var i overensstemmelse med reglerne om behandlingssikkerhed, idet de ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. ved stikprøvekontrol) for at sikre, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for at behandle. Politikredsene kontrollerede kun loggen ved konkret mistanke om misbrug.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne grundlag for, hvordan og hvor ofte denne kontrol skal udføres. Det er dog tilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer.

Dataansvarlige kan endvidere overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver.

Logkontrol har umiddelbart en korrigerende funktion, men et andet væsentligt formål med implementering af logkontrol er, at det kan have en forebyggende effekt. Orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan derfor være et effektivt middel til at reducere risikoen for misbrug af ellers legitime adgangsrettigheder.

Forebyggelse af misbrug af adgangsrettigheder bør efter Datatilsynets opfattelse ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring samt logning og løbende kontrol af brugernes opslag i systemer, hvori der behandles personoplysninger. Derudover skal den dataansvarlige sikre en effektiv håndhævelse af reglerne.

Datatilsynet lagde i vurderingen af sagerne vægt på, at der i POLSAS både behandles almindelige, følsomme og andre beskyttelsesværdige personoplysninger, og at reelt alle medarbejdere i politikredsene har adgang til POLSAS – og som udgangspunkt også adgang til alle sager og oplysninger i systemet.

Datatilsynet bemærkede i øvrigt i anledning af tilsynet, at:

  • arbejdsgivere skal overholde de databeskyttelsesretlige regler om oplysningspligt ved iværksættelse af kontrolforanstaltninger som f.eks. logkontrol. Det indebærer, at medarbejderne klart og utvetydigt skal informeres om, at registreringen og kontrollen foretages.
  • når der er tale om fælles dataansvar mellem to eller flere parter, er det vigtigt at udarbejde en aftale, der tydeligt fastlægger deres respektive ansvar for overholdelse af de forskellige pligter, der pålægges en dataansvarlig efter databeskyttelsesforordningen. To af politikredsene gav udtryk for, at den manglende gennemførelse af stikprøvekontrol skyldtes en misforståelse af, at en sådan kontrol blev udført af Rigspolitiet.

Datatilsynet har orienteret Rigspolitiet om tilsynene og har i den forbindelse bemærket, at tilsynet forudsætter, at det sikres, at der også implementeres behørig logkontrol hos de øvrige politikredse, hvis ikke det allerede er sket.

Afgørelse

1. Skriftligt tilsyn med Fyns Politis behandling af personoplysninger

Fyns Politi var blandt de myndigheder, som Datatilsynet i sommeren 2021 havde udvalgt at føre tilsyn med efter retshåndhævelsesloven[1].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Fyns Politis måde at administrere adgangsrettigheder på i politiets sagsstyringssystem POLSAS.

Ved brev af 11. juni 2021 varslede Datatilsynet tilsynet med Fyns Politi. Datatilsynet anmodede i den forbindelse om at få oplyst:

  • hvilke oplysninger, der behandles i POLSAS
  • hvordan Fyns Politi styrer adgangsrettigheder for brugere med adgang til Fyns Politis POLSAS, herunder hvordan adgangsrettigheder tildeles og afmeldes
  • generelle politikker og procedurer for adgangskontrol, herunder politikker for audit og stikprøver for uautoriserede adgangsforsøg.

Fyns Politi fremkom den 12. august 2021 med en udtalelse til sagen.

På baggrund af udtalelsen anmodede Datatilsynet ved brev af 26. oktober 2021 Fyns Politi om at fremsende dokumentation for udført kontrol af autorisationer i POLSAS for det seneste år. Fyns Politi fremsendte på den baggrund den 1. december 2021 en supplerende udtalelse i sagen.

Datatilsynet anmodede den 12. januar og 21. februar 2024 Fyns Politi om at oplyse, om politikredsen efter afgivelse af høringssvaret af 12. august 2021 havde implementeret yderligere logkontrol med medarbejdernes anvendelse af personoplysninger, herunder i form af stikprøvekontrol. Fyns Politi fremsendte herefter supplerende udtalelser til Datatilsynet den 12. februar og 6. marts 2024.

2. Afgørelse

Fyns Politis oplysninger om administration af adgangsrettigheder for brugere med adgang til Nordjyllands Politis POLSAS, herunder hvordan adgangsrettigheder tildeles og afmeldes, giver ikke Datatilsynet anledning til bemærkninger.

Efter tilsynet finder Datatilsynet imidlertid anledning til at konkludere, at Fyns Politi på tidspunktet for varslingen af tilsynet ikke havde implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug.

Datatilsynet finder herefter grundlag for at udtale kritik af, at Fyns Politis behandling af personoplysninger ikke er sket i overensstemmelse med retshåndhævelseslovens § 27.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem om logkontrol i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse om kritik af utilstrækkelig logkontrol.

3. Sagsfremstilling

I udtalelsen af 12. august 2021 har Fyns Politi bl.a. oplyst, hvilke oplysninger der behandles i POLSAS. Det fremgår bl.a. heraf, at POLSAS anvendes af alle landets politikredse, og at det som udgangspunkt anvendes ved journalisering, registrering og skriftlig sagsbehandling af alle straffesager, administrative sager, undersøgelsessager og hændelser. Reelt vil alle medarbejdere i en politikreds være tildelt POLSAS-adgang. Som udgangspunkt har alle brugere med adgang til POLSAS adgang til alle sager og alle oplysninger heri, herunder personoplysninger. Det er dog muligt at begrænse dele af adgangen til rapporter og dokumenter. Alle relevante oplysninger i relation til politiets brede opgavevaretagelse skal således som hovedregel registreres i POLSAS, og dette vil derfor bl.a. omfatte personoplysninger i form af personnumre, oplysninger om familiære relationer, strafbare forhold og helbredsmæssige oplysninger.

I forhold til logkontrol mv. har Fyns Politi i udtalelsen af 12. august 2021 henvist til oplysninger fra Rigspolitiets Koncern IT, hvoraf der bl.a. fremgår følgende:

For så vidt angår audit, stikprøver og opfølgning på uautoriserede adgangsforsøg kan det oplyses, at politikredsene og Rigspolitiets områder skal opretholde en lokal informationssikkerhedsorganisation, sikre implementering af gældende sikkerhedsbestemmelser samt varetage den lokale opfølgning på informationssikkerheden.

Rigspolitiet Koncern IT, Sikkerhed foretager det overordnede tilsyn med informationssikkerhedssikkerheden med udgangspunkt i vedlagte tilsynskoncept og foretager i den forbindelse stikprøvekontroller med anvendelsen af politiets centrale systemer og gennemfører fysiske tilsyn i politikredsene i samarbejde med Rigspolitiets databeskyttelsesenhed.

Rigspolitiet foretager ikke fra centralt hold stikprøver med anvendelsen af POLSAS, men de enkelte politikredse har mulighed for at foretage lokal opfølgning på anvendelsen, idet den lokale POLSAS log er tilgængelig for kredsene i en kortere periode.

[…]

”Hvis en sagsbehandler i en politikreds konstaterer eller blot har en mistanke om, at der er andre, der har været inde på pågældendes sag, har man mulighed for at anmode om et log-udskrift via sin nærmeste leder. Logudskrifter i POLSAS tilvejebringes af Rigspolitiets Koncern IT, Sikkerhed.”

Fyns Politi har i den forbindelse oplyst, at politikredsen ved mistanke om uberettiget adgang/åbning af dokumenter i en konkret sag i POLSAS anmoder Rigspolitiet om logudtræk.

Fyns Politi har endvidere oplyst, at det fremgår klart af Rigspolitiets Sikkerhedshåndbog og vejledning om registeropslag og anvendelse af personoplysninger, at ansatte i politikredsene kun må søge efter og anvende oplysninger, som er relevante for deres konkrete sagsbehandling eller funktion.

I forhold til de opfølgende spørgsmål om, hvorvidt Fyns Politi efter afgivelse af udtalelsen af 12. august 2021 har implementeret yderligere logkontrol med medarbejdernes anvendelse af personoplysninger, herunder i form af stikprøvekontrol, har Fyns Politi i udtalelserne af 12. februar og 6. marts 2024 oplyst, at politikredsen i 2023 har indført stikprøvekontrol af logoplysninger fra POLSAS.

I den første kontrol blev tre sager udvalgt til kontrol. Det blev herefter besluttet, at der fremover skulle udtages 10 sager om året til kontrol, ligesom der fortsat skulle foretages kontrol ved konkret mistanke om uberettiget opslag. Sagerne udvælges som udgangspunkt tilfældigt, men det tilstræbes at medtage sager med særlig interesse som følge af eksponering i medierne, eller hvor ansatte er involveret. I 2023 blev der foretaget én kontrol, mens der fremover vil blive foretaget to årlige kontroller. I forhold til information til medarbejderne om logkontrollen har Fyns Politi oplyst, at der på politiets intranet er information til medarbejderne om, at de registreringer af medarbejdernes aktiviteter i politiets IT-systemer, der sker som led i det daglige arbejde, kan blive anvendt som kontrolforanstaltninger. 

Fyns Politi har endelig oplyst, at politikredsen i september 2020 og august 2023 via artikler og nyhedsbreve har indført awareness på politiets intranet for medarbejderne i forhold til, hvornår man må slå en person op i politiets systemer samt om, at uberettiget opslag kan få ansættelsesretlige konsekvenser.

4. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det oplyste fra Fyns Politi til grund:

  • at der i POLSAS både behandles almindelige og følsomme personoplysninger og andre beskyttelsesværdige personoplysninger
  • at reelt alle medarbejderne i Fyns Politi er tildelt POLSAS-adgang, og at alle brugerne som udgangspunkt har adgang til alle sager og alle oplysninger heri, herunder personoplysninger
  • at Fyns Politi på tidspunktet for varslingen af tilsynet ikke havde implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug.

Det følger af retshåndhævelseslovens § 27, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne baggrund for, hvordan og hvor ofte denne kontrol skal foretages.

Det er dog Datatilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer. Det er således ikke tilstrækkeligt alene at undersøge loggen ved konkret mistanke om misbrug eller ved enkeltstående potentielle misbrugsscenarier, f.eks. som led i politiets behandling af en sag, der er omtalt i medierne eller lignende. Datatilsynet bemærker i den forbindelse, at den dataansvarlige kan overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og at dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver. Logkontrollen vil i sådanne tilfælde primært have en korrigerende funktion.

Et andet og væsentligt formål med implementering af logkontrol er, at denne foranstaltning kan have en forebyggende funktion. Behørig orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan således være et effektivt middel til at mindske sandsynligheden for, at der sker misbrug af ellers legitime adgangsrettigheder.

Forebyggelse af misbrug af adgangsrettigheder bør ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring, logning og løbende kontrol af brugernes opslag i systemer, der behandler personoplysninger – samt en effektiv håndhævelse fra den dataansvarliges side.

Borgerne skal således kunne have tillid til, at politiet kun behandler oplysninger om borgerne til lovlige formål – og det stiller store krav til såvel politiet som den enkelte medarbejder.

Datatilsynet finder herefter, at der er grundlag for at udtale kritik af, at Fyns Politi – ved ikke på tidspunktet for varslingen af tilsynet at have implementeret faste procedurer for løbende at foretage logkontrol (f.eks. ved stikprøvekontrol) for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for, idet der alene blev foretaget kontrol af loggen ved konkret mistanke om misbrug – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. retshåndhævelseslovens § 27.

Datatilsynet har dog noteret sig, at Fyns Politi efter Datatilsynets iværksættelse af tilsynet fra 2024 har indført passende stikprøvekontrol med logoplysningerne, og at der er indført awareness herom. Datatilsynet har endvidere noteret sig, at der er awareness bl.a. om, hvad der er berettiget/uberettiget opslag, ligesom der er systematisk rettighedsstyring og logning af anvendelsen af personoplysninger.

Datatilsynet skal i anledning af tilsynet i øvrigt generelt bemærke, at arbejdsgivere skal iagttage oplysningspligten i databeskyttelsesforordningens[2] artikel 13 eller 14 ved iværksættelse af kontrolforanstaltninger. Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om, at registreringen/logningen finder sted, og at registrering vil blive gennemset som led i en løbende kontrol, herunder stikprøvekontrol, af om der sker brug i strid med arbejdspladsens retningslinjer[3] samt ved mistanke herom.

Datatilsynet skal endvidere bemærke, at det er vigtigt, når der er tale om fælles dataansvar mellem to eller flere parter, at det i en aftale eller lignende klart er afgrænset, hvem der har ansvaret for hvad. Fælles dataansvar kan f.eks. komme på tale, hvis parterne i fællesskab bestemmer, hvorfor der skal behandles personoplysninger (formålet), og hvordan der skal behandles oplysninger (hjælpemidlerne)[4].

 

[1] Lov nr. 410 af 27. april 2017 om retshåndhævende myndigheders behandling af personoplysninger med senere ændringer.

[2]    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3]    Se nærmere herom i Datatilsynets vejledende tekst om ”Kontrol af medarbejdere” og ”Vejledning om databeskyttelse i forbindelse med ansættelsesforhold” som findes på Datatilsynets hjemmeside.

[4]    Se Datatilsynets nærmere herom i Datatilsynets ”Vejledning om dataansvarlige og databehandlere” som findes på Datatilsynets hjemmeside.