Undgå unødvendig anvendelse af flerbrugerkonti

Flerbrugerkonti er kendetegnet ved adgange, som kan blive anvendt af flere brugere, og svarer derfor i realiteten til et upersonligt eller anonymt login til it-systemer. Handlinger udført under sådan et login kan dermed ikke henføres til en enkelt fysisk person, hvilket begrænser muligheden for at efterprøve om en konkret anvendelse eller tilgang til oplysninger har været berettiget. Det kan handle om fx testbrugerkonti, som anvendes af forskellige udviklere på skift, uden at det er klart, hvem der har foretaget login, og hvornår. I sundhedssektoren kan det handle om adgange til udstyr i undersøgelsesrum (Sundhedscentre), hvor flere faggrupper er sammen med en patient samtidigt.

Flerbrugerkonti kan friste til misbrug. Endvidere vil logningsforanstaltninger have mindre eller ingen præventiv effekt imod misbrug, hvis brugere ved, at de kan skjule sig bag et sådant anonymt login.

Undladelse eller begrænset anvendelse af flerbrugerkonti er dermed en forebyggende foranstaltning, som kan mindske sandsynligheden for misbrug af adgangsrettigheder. 

Fordelen begrænser sig ikke til bevidst misbrug. Når flere deles om et login, så deles de reelt set også om ansvaret for de behandlinger af personoplysninger, der sker via dette login, og når flere deles om et ansvar, så føler den enkelte ofte mindre eller intet ansvar. Der er tale om en psykologisk effekt.

Endeligt kan anonyme adgange øge sandsynligheden for, at de adgangsgivende faktorer (fx adgangskode) ikke håndteres forsvarligt – af flere årsager:

• Adgangskoder kan blive delt mellem personer, der ikke nødvendigvis er blevet autoriseret. Den enkelte bruger føler ikke stort ansvar for at beskytte adgangskoden, fordi den jo allerede deles med kollegaer.
• Adgangskoderne skiftes måske ikke, når personer udtræder af brugergruppen og dermed ikke længere burde have adgang.
• Adgangskoder, som brugeren ikke selv har valgt, er ofte sværere at huske og nedskrives derfor.

It-systemer og procedurer indrettes således, at anonym adgang så vidt muligt forhindres. Det indebærer, at adgangsgivende faktorer (fx adgangskoder) er personlige og kun kendes af den enkelte bruger.

Eventuelle servicekonti, hvis login er indkodet i software, beskyttes imod misbrug.

Hvis bruger-id'er genanvendes (videregives til en anden person), så registreres det, hvornår det er sket. På den måde ved organisationen altid, hvem der på et hvert givent tidspunkt har kunne anvende denne bruger-id. Det er typisk aktuelt ved brugerkonti der anvendes til test eller midlertidige ansættelser (eksterne konsulenter, vikarer, elever).

Hvis man ikke kan undgå deling af adgangsgivende faktorer mellem flere personer, så fastsættes der procedurer, der kan sikre, at ændring i brugergruppen også medfører ændring i den adgangsgivende faktor. Dermed vil det kun være den aktuelle brugergruppe, der kan foretage login.

Et godt supplement er træning og information til brugerne om, hvordan adgangsgivende faktorer skal håndteres og beskyttes, så brugeren er klar over, at de stadig står til ansvar for handlinger udført under login.

Det følger overordnet af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer beskyttelse mod uautoriseret eller ulovlig behandling. En risikovurdering efter forordningens artikel 32 vil vise, hvilke tiltag der er relevante, idet risici og muligheder er meget afhængige af de konkrete forhold. Som det ses af ovenstående, kan anvendelsen af anonymt login øge sandsynligheden for bevidst misbrug, manglende ansvarsfølelse og andet, der resulterer i uautoriseret/ulovlig behandling af data.