I 2021 indledte Datatilsynet skriftlige tilsyn med henholdsvis Nordjyllands Politi, Fyns Politi og Bornholms Politis brugerstyring og logkontrol af politiets sagsstyringssystem Polsas, idet der behandles store mængder af personoplysninger i systemet, herunder oplysninger om strafbare forhold.
Valget af de tre politikredse skyldes, at de varierer i størrelsen, og at de er udtryk for en geografisk spredning.
Politikredsenes oplysninger om brugerstyring i Polsas – dvs. administration af adgangsrettigheder, herunder hvordan adgangsrettigheder tildeles og afmeldes – gav ikke Datatilsynet anledning til bemærkninger.
Kritik af utilstrækkelig logkontrol
Datatilsynet fandt imidlertid anledning til at udtale kritik af, at politikredsenes logkontrol ikke var i overensstemmelse med reglerne om behandlingssikkerhed, idet de ikke havde implementeret faste procedurer for løbende logkontrol (f.eks. ved stikprøvekontrol) for at sikre, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for at behandle. Politikredsene kontrollerede kun loggen ved konkret mistanke om misbrug.
Det er Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende foretager stikprøver af loggen for at kontrollere, at brugerne kun tilgår oplysninger, de har et arbejdsbetinget behov for. En konkret risikovurdering kan danne grundlag for, hvordan og hvor ofte denne kontrol skal udføres. Det er dog tilsynets opfattelse, at stikprøvekontrol hvert halve år ofte vil være et absolut minimum, hvis der er tale om en bred adgang, hvor medarbejdere har adgang til mange fortrolige eller følsomme oplysninger og/eller adgang til oplysninger om mange personer.
Dataansvarlige kan endvidere overveje at etablere alarmer (f.eks. baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet – og dette kan supplere eller erstatte mere tilfældigt udvalgte stikprøver.
Logkontrol har umiddelbart en korrigerende funktion, men et andet væsentligt formål med implementering af logkontrol er, at det kan have en forebyggende effekt. Orientering til medarbejdere om, at der løbende gennemføres logkontrol, kan derfor være et effektivt middel til at reducere risikoen for misbrug af ellers legitime adgangsrettigheder.
Forebyggelse af misbrug af adgangsrettigheder bør efter Datatilsynets opfattelse ske ved en kombination af awareness bl.a. om, hvad der er berettiget/uberettiget opslag, systematisk rettighedsstyring samt logning og løbende kontrol af brugernes opslag i systemer, hvori der behandles personoplysninger. Derudover skal den dataansvarlige sikre en effektiv håndhævelse af reglerne.
Datatilsynet lagde i vurderingen af sagerne vægt på, at der i Polsas både behandles almindelige, følsomme og andre beskyttelsesværdige personoplysninger, og at reelt alle medarbejdere i politikredsene har adgang til Polsas – og som udgangspunkt også adgang til alle sager og oplysninger i systemet.
Datatilsynet bemærkede i øvrigt i anledning af tilsynet, at:
- arbejdsgivere skal overholde de databeskyttelsesretlige regler om oplysningspligt ved iværksættelse af kontrolforanstaltninger som f.eks. logkontrol. Det indebærer, at medarbejderne klart og utvetydigt skal informeres om, at registreringen og kontrollen foretages
- når der er tale om fælles dataansvar mellem to eller flere parter, er det vigtigt at udarbejde en aftale, der tydeligt fastlægger deres respektive ansvar for overholdelse af de forskellige pligter, der pålægges en dataansvarlig efter databeskyttelsesforordningen. To af politikredsene gav udtryk for, at den manglende gennemførelse af stikprøvekontrol skyldtes en misforståelse af, at en sådan kontrol blev udført af Rigspolitiet.
Datatilsynet har orienteret Rigspolitiet om tilsynene og har i den forbindelse bemærket, at tilsynet forudsætter, at det sikres, at der også implementeres behørig logkontrol hos de øvrige politikredse, hvis ikke det allerede er sket.