Kan snageri forebygges? Og hvordan?

I et digitaliseret samfund behandler særligt offentlige myndigheder meget store mængder personoplysninger om borgerne. Det er samtidigt vigtigt, at borgerne kan have tillid til, at offentlige myndigheder optræder professionelt og kun anvender oplysninger om borgerne til lovlige formål. Medarbejdere skal af samme grund kun have adgang til oplysninger, der er et arbejdsbetinget behov for, men på grund af den stigende digitalisering kan data forekomme i rigtig mange systemer med meget brede adgange. Det stiller krav til både den dataansvarlige organisation og den enkelte medarbejder, som begge har et ansvar.

Der er desværre løbende eksempler på, at medarbejdere uberettiget har tilgået persondata - af nysgerrighed eller for at opnå en form for personlig vinding. Oftest opdages det først, når borgeren selv bliver opmærksom på, at nogen anvender en særlig viden om dem. Det kan nemlig være rigtig vanskeligt for den dataansvarlige at opdage, når medarbejdere anvender deres systemadgang på en måde, der ikke er arbejdsmæssigt betinget. Misbrug af adgangsrettigheder kan derfor ikke helt forhindres, men omfanget kan forebygges gennem systematisk rettighedsstyring, gode kontrolprocedurer og effektiv håndhævelse fra den dataansvarliges side.

Mange offentlige organisationer råder over et meget stort antal IT-systemer. En del af disse bruges til behandling af følsomme og fortrolige oplysninger. Det er en konkret risikovurdering, som skal vise, hvilke tiltag der er nødvendige i den enkelte myndighed, men rettighedsstyring, logning og stikprøvekontrol af medarbejdernes anvendelse har i mange år været et krav til offentlige myndigheder.

I systemer med mange brugere eller mange forskellige rettighedsniveauer kan det være en stor opgave at vedligeholde og kontrollere adgang og rettigheder. Adgange til systemer og afgrænsningen inden for systemets rammer skal altid være betinget af et arbejdsmæssigt behov. Det gælder både ved oprettelse, ændring eller nedlæggelse af brugere, når folk fx flytter afdeling, får nye funktioner eller forlader organisationen.

Det kan være relevant at overveje central rettighedsstyring og at anvende dedikerede systemer til at automatisere oprettelse, ændring eller nedlæggelse af brugeradgange på baggrund af oplysninger fra en autoritativ kilde (eksempelvis et lønsystem) som central rettighedsstyring Det kan især være væsentligt,  hvis en risikovurdering viser, at opgaven med administration af brugere og rettigheder er meget  kompleks eller tidskrævende og dermed vanskelig at løse manuelt.

Det er en forudsætning for rettighedsstyring og efterfølgende kontrol, at alle brugere i systemerne kan tilbageføres til en fysisk person. Deri liger også, at konti med adgang fra flere forskellige fysiske personer skal begrænses mest muligt.

Logning skal bl.a. sikre muligheden for at kontrollere medarbejderes færden i IT-systemerne, herunder muligheden for at opdage misbrug.

Det er en forudsætning, at systemer understøtter logning af alle brugeres handlinger, og at denne log gemmes længe nok til at være tilgængelig, hvis misbrug skulle forekomme. Logningen skal bl.a. omfatte  brugerhandlinger  som læsning, søgning, sletning, ændring, tilføjelse og loginforsøg.

Det kan være vanskeligt at få adgang til loginformation, især hvis det skal bestilles via en leverandør. Derfor kan det overvejes, om systemer kan levere loginformation til en central server. Det vil også gøre det nemmere at opsætte regler eller alarmer til at overvåge loggen, hvis systemet ikke selv understøtter det.

Kompleksiteten omkring logning kan blive så omfattende, at et egentligt system til styring af logning og undersøgelse af logs kan overvejes. Der kan f.eks. anvendes en log, som gør det muligt at foretage en mere målrettet stikprøvekontrol af brugernes arbejdsbetingede anvendelse af systemet. 

Det er et grundlæggende krav til offentlige myndigheder, at der foretages løbende kontrol af brugernes anvendelse (herunder opslag) i systemer, der behandler persondata. En konkret risikovurdering kan danne baggrund for, hvordan og hvor ofte denne kontrol skal foretages. Er der tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer, vil stikprøvekontrol mindst hvert halve år ofte være et absolut minimum.  

Stikprøver kan være meget vanskelige at udføre i praksis, og der er i sagens natur ikke den store sandsynlighed for at ramme et uberettiget opslag med en tilfældig stikprøve. Derfor kan det være en mulighed at anvende proaktive logkontrolsystemer, som kan opsættes til at overvåge, om medarbejdere f.eks. slår op på medlemmer af deres egen nærmeste familie.

Der vil være mange tilfælde, hvor et minimum af kontrol ikke vil være tilstrækkeligt. I disse tilfælde kan det overvejes, om et eller flere tiltag omkring automatiseret eller regelbaseret logkontrol skal etableres.

I nogle sammenhænge kan det give mening at lade borgerne se, hvem der har tilgået oplysninger om dem, hvilket eksempelvis er tilfældet på Sundhed.dk. Dermed kan borgerne selv være med at til opdage uretmæssig brug.

Langt de fleste medarbejdere, der har adgang til systemer indeholdende følsomme og fortrolige data, er bekendt med deres tavshedspligt. De ved også, at de ikke må foretage uberettigede opslag i systemerne på fx familiemedlemmer.

God og brugbar awarenes skal sikre, at alle medarbejdere, også løst tilknyttede, kender organisationens afgrænsning, af hvad der er berettiget, og hvad der er uberettiget. Samtidig skal det italesættes, hvad konsekvensen ved uberettigede opslag kan være, ikke kun for medarbejderen selv, men også for organisationen og borgeren (den registrerede).

Stikprøver og kontrol af brugernes adfærd i systemerne kan nemlig have en forebyggende  effekt, hvorfor det er helt centralt , at medarbejderne informeres om kontroltiltag og kender konsekvensen af brud på reglerne.

Awarenes skal også bruges til at fortælle alle medarbejdere, hvordan fejl og mangler i IT-systemer, f.eks. forkerte / for mange rettigheder eller for bred adgang kan indberettes. Der skal være en lettilgængelig måde at indberette uregelmæssigheder eller misbrug på.

Ansvaret for, at medarbejdere ikke foretager uberettigede opslag, ligger både hos organisationen og den enkelte medarbejder. Organisationen skal sikre passende rammer, der modvirker, at personoplysninger bliver tilgået af de forkerte, jf. de forskellige foranstaltninger nævnt ovenfor.

Men hvis medarbejdere på trods af disse foranstaltninger og mod bedre vidende snager i andres oplysninger, kan de straffes for det med bøde. I en del af disse tilfælde, hvor organisationer bliver opmærksomme på uberettigede opslag, anmelder de medarbejderen til politiet. Du kan læse mere om bødestraffe for snageri her.

Læs også Datatilsynets vejledning om rettighedsstyring.