Lyngby-Taarbæk politianmeldt:
Tidligere kommunalansat tilgik personoplysninger på over 1.000 borgere

LYNGBY-TAARBÆK: Datatilsynet har vurderet, at Lyngby-Taarbæk Kommune ikke lever op til kravene om et passende sikkerhedsniveau og har derfor politianmeldt kommunen. Samtidig er kommunen blevet indstillet til en bøde på mellem 350.000 og 400.000 kr.

Datatilsynet blev opmæksom på problemet, da kommunen selv anmeldte brud på persondatasikkerhed på grund af uautoriseret adgang til personoplysninger.

Ud af i alt tre anmeldelser handler to om manglende retningslinjer og procedurer for nedlæggelse af brugeradgange samt mangel på kontrol af dem. Problemstillingen angik et it-system, som bruges på omsorgsområdet, og der har derfor været adgang til fortrolige personoplysninger fra et stort antal borgere i kommunen.

Den manglende sikkerhed har ført til, at minimum 1.000 tidligere ansatte fortsat havde adgang til systemet efter endt ansættelse. Ifølge kommunen kunne personoplysninger på ca. 30.000 borgere tilgås, og i mindst ét tilfælde er adgangen blevet misbrugt af en tidligere medarbejder, som tilgik oplysninger om 1.022 borgere.

Uvedkommende havde adgang

En tredje anmeldelse handler om, at en uvedkommende havde misbrugt en kommunalmedarbejders loginoplysninger, hvilket gav adgang til medarbejderens Office-tjenester, som indeholdt oplysninger omkring 5.000 borgere, ansatte og samarbejdspartnere. 

I alle tre tilfælde kunne it-systemerne og Office-tjenesterne tilgås direkte fra internettet. Datatilsynet undersøgte derfor, om kommunen havde implementeret flerfaktorautentifikation eller anden sikring af fjernadgangsforbindelser, hvilket viste sig ikke at være tilfældet. 

Datatilsynet har vurderet, at sikkerhedsforanstaltningerne har manglet siden 2016 og 2018.

SRS