På baggrund af en borgers henvendelse indledte Datatilsynet i december en sag af egen drift over for Herning Kommune.
I afgørelsen udtaler Datatilsynet kritik af, at kommunens behandling af personoplysninger via kommunens it-system ”Affaldsweb” frem til den 17. december 2021 ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.
Brugerne af ”Affaldsweb” logger ind i systemet med en unik kode på 5 cifre/tegn, som fremgår af deres ejendomsskattebillet.
Indtil d. 17. december 2021 var det muligt for borgere, der deltes om en affaldscontainer, at tilgå oplysninger om, hvem der sidst havde redigeret eller bestilt containere samt eventuelle kontaktoplysninger, som den foregående bruger selv måtte have indtastet i ”Affaldsweb”.
Stadig muligt at tilgå oplysninger via URL-manipulation
Det følger også af sagen, at systemet gør det muligt at fremsøge oplysninger om en fysisk adresse samt oplysninger om containerforhold (volumen, tømningsfrekvens, pris) på denne adresse ved URL-manipulation. Brugerens unikke kode på 5 cifre/tegn indgår i URL’en og ved manuelt at ændre i den, er det således potentielt muligt at tilgå oplysninger om andre brugere.
Datatilsynet har i den forbindelse udtalt, at en adgangsbeskyttelse baseret på en kode med 5 cifre/tegn, ikke yder passende sikkerhed mod angreb baseret på brute force og randomiserede gæt, og at brugen af fortløbende numre/bogstaver eller genkendelige sekvenser af karakterer i den URL, der benyttes til individualiseret adgang, ikke er udtryk for en passende beskyttelse.
Datatilsynet har vejledt kommunen om, at oplysninger om adresser samt containerforhold sammenholdt med øvrige identifiktatorer forholdsvist let kan få karakter af oplysninger, der er personhenførbare – altså personoplysninger.
For så vidt angår det nuværende set-up har kommunen oplyst, at behandlingen var af mindre følsom karakter, og at servicen til borgeren overstiger potentielle risici for de registreredes rettigheder.
Til dette bemærkede Datatilsynet, at alle personoplysninger er beskyttelsesværdige, og at URL-manipulation er en type af programmeringsmæssig fejlkilde, som er almindeligt kendt, og let burde imødegås af den dataansvarlige. Herudover pointerede tilsynet, at afvejningen mellem oplysningernes mindre følsomme karakter på den ene side og servicens nytteværdi på den anden side ikke kan føre til et andet resultat end, at personoplysningerne er beskyttelsesværdige.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om behandlingssikkerhed i Datatilsynets vejledning Behandlingssikkerhed: Databeskyttelse gennem design og standardindstillinger
Læs mere om, hvornår oplysninger er personhenførbare og dermed personoplysninger her.
Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83.