Arkivfoto: Mostphotos
48 kommuner har haft tilsyn af Datatilsynet i forhold til, om GDPR-regler overholdes.
På fem områder halter det noget, og Datatilsynet giver anbefalinger til, hvordan problemerne kan håndteres.
De fem problemområder er: 1) Procedurer for sletning 2) Utilsigtet deling af personoplysninger i mails 3) Rettighedsstyring 4) Konsekvensanalyse 5) Domænesikkerhed.
Gamle data misbruges
Sletning handler om, at en myndighed ikke må behandle eller opbevare personoplysninger længere end nødvendigt, bl.a. for at mindske risikoen for misbrug af overflødige oplysninger ved datalæk, ransomware-angreb o.l., hvor data uberettiget bliver tilgået.
Kun cirka 1/3 af kommunerne har gennemført faste procedurer for sletning af ”udløbne” data.
Tilsynet viser også, at kun 1/3 af kommunerne har tilstrækkelig kontrol af, om medarbejdere har uberettiget adgang til data.
Her anbefaler Datatilsynet stikprøver eller regelmæssig gennemgang af logfiler.
Få kommuner scanner for CPR
Et andet stort problem er, at hvor ”rigtige” personoplysninger sendes til en ”forkert” modtager, typisk en e-mailadresse eller hvor der bliver vedhæftet et dokument med ”forkerte” oplysninger til den ”rigtige” modtager.
For at mindske den slags fejl og databrud kan den dataansvarlige indføre forskellige foranstaltninger.
Det kan fx være scanning af alle udgående mails for CPR-numre og/eller fravalg af funktionen ”autoudfyld” ved indtastning af mailadresser. Eller det kan også være sikring af, at det indtastede CPR-nummer eller den indtastede mailadresse svarer til den person, der måtte være registreret på en borgers sag.
Kun halvdelen af kommunerne har en tilstrækkelig indsats for at hindre den slags databrud.