Bornholms Politi taget i datasjusk

Siden 2021 har Datatilsynet forsøgt at få Bornholms Politi til at implementere kontrol med deres sagsstyringssystem Polsas. Det resulterede i, at Bornholms Politi i foråret modtog kritik fra Datatilsynet for manglende behandlingssikkerhed. En kritik, som adjunkt på juridisk institut Tanja Kammersgaard Christensen mener, at Bornholms Politi bør tage meget alvorligt, da det handler om at undgå misbrug.

Bornholms Politi har modtaget kritik fra Datatilsynet for manglende sikkerhedsprocedurer og logkontrol af adgangen til politiets sagsstyringssystem, Polsas.

Ifølge ekspert er det en kritik, der skal tages meget alvorligt, idet en manglende kontrol kan kompromittere sikkerheden omkring borgernes følsomme personoplysninger.

Datatilsynet indledte i 2021 tilsyn med tre politikredse heriblandt Bornholms Politi. Tre år senere har tilsynet udtalt kritik af politikredsenes håndtering af sagen, da de på tidspunktet for tilsynet ikke levede op til kravene for kontrol af det store sagsstyringssystem.

Kort og godt gik kritikken på, at politikredsene ikke førte kontrol med hvilke ansatte der havde adgang til dokumenter og oplysninger om borgerne, som den enkelte politikreds ellers har ansvaret for at kontrollere. I princippet kunne alle ansatte ved Bornholms Politi tilgå dokumenter fra politiets sagsstyringssystem Polsas uden at have de nødvendige og adgangsgivende beføjelser. Hos Bornholms Politi siger stabschef Lisbet Hallengren Kristensen, at man fejlagtigt troede, at ansvaret for kontrollen lå hos Rigspolitiet.

'Det er alvorligt, når politiet får kritik'

Adjunkt på juridisk institut Tanja Kammersgaard Christensen mener, at Bornholms Politi bør tage kritikken alvorligt.

– Der er ingen tvivl om at, når en myndighed, som politiet behandler personoplysninger i det omfang, som de gør, og da personoplysningerne, som Datatilsynets også påpeger, ofte vil være følsomme eller af fortrolig karakter, så følger der også et stort ansvar med behandlingen. Det er derfor alvorligt, når en myndighed som politiet får kritik af Datatilsynet for ikke at behandle personoplysninger sikkert nok, fortæller Tanja Kammersgaard Christensen og uddyber

– Den konkrete kritik omhandler manglende kontrol med adgangen til Polsas, som jo netop indeholder utroligt mange personoplysninger om rigtigt mange borgere. Det er derfor vigtigt, at der føres logkontrol, som Datatilsynet påpeger, idet det skal være muligt at kontrollere, at der kun sker relevante opslag i systemet. Derudover foreslår datatilsynet også en systematisk rettighedsstyring, hvilket kan hjælpe til, at den enkelte politiansatte kun får adgang til personoplysninger, der er relevante for den konkrete sag/baggrund for opslaget.

Ifølge Tanja Kammersgaard Christensen er det helt afgørende, at Bornholms Politi får implementeret den rette kontrol for at sikre, at det kun er det personale, som har et adgangsgivende grundlag, der får lov til at tilgå særligt følsomme oplysninger på borgerne.

Tekniske begrænsninger

Hvad kan man forvente, at Bornholms Politi gør i sagen?

– Bornholms Politi skal rette op på den manglende sikkerhed, og derfor ifølge Datatilsynet blandt andet træffe passende organisatoriske og tekniske foranstaltninger for at sikre, at sikkerhedsniveauet passer med de risici, der er ved politiets behandling. Det betyder at Bornholms Politi, udover at foretage en bedre logkontrol, som de er påbegyndt, også kan se på for eksempel rettighedsadgang til systemer, så de sikrer, at der ikke sker uautoriseret læsning eller adgang til systemerne, det er ikke sikkert, at det er nok, blot at uddanne og føre kontrol, det kan være, at der skal være tekniske begrænsninger, for helt at undgå sådanne uautoriserede opslag.

Hvad kan konsekvensen eventuelt være, hvis de ikke foretager sig yderligere?

– Datatilsynet kan følge op på deres tilsyn med politiet, og hvis Bornholms politi ikke får styr på deres behandlingssikkerhed, og de punkter, som påpeges af Datatilsynet, kan Datatilsynet begynde at sætte tidsfrister for politiet, eller stoppe deres behandling, indtil systemerne er sikre. I sidste ende kan det ende med at Datatilsynet indstiller politiet til en bøde.

På nuværende tidspunkt findes der ikke mange afsluttede sager i Danmark, der kunne fungere som fortilfælde. Derfor kan det også være svært at vurdere, i hvilket prisleje en eventuel bøde kunne ligge på.

Men Tanja Kammersgaard Christensen mener, at bødeniveauet lige nu ligger mellem 100.000 og en million kroner.

Adjunkt på juridisk institut Tanja Kammersgaard Christensen mener, at Bornholms Politi bør tage kritikken meget alvorlig. Foto: Lasse Møller Badstue

Bornholms Politi: 'Vi var af en fejlagtigt opfattelse'

Hos Bornholms Politi beklager man fejlen og oplyser, at al kritik fra Datatilsynet bliver taget meget alvorligt.

– Bornholms Politi har i lighed med landets øvrige politikredse adgang til en række almindelige og følsomme personoplysninger vedrørende borgerne, og det er meget vigtigt, at borgerne kan regne med, at vi passer godt på oplysningerne. Det er en forpligtelse, vi er særdeles bevidste om og opmærksomme på.

– Vi tager derfor enhver kritik fra Datatilsynet meget alvorligt. Datatilsynets kritik i afgørelsen fra maj 2024 vedrører den manglende lokale stikprøvekontrol på det tidspunkt, hvor tilsynet blev varslet, det vil sige i 2021.

– Bornholms Politi var dengang fejlagtigt af den opfattelse, at Rigspolitiet foretog de fornødne stikprøver med anvendelsen af Polsas og havde derfor ikke iværksat lokal stikprøvekontrol. Da politikredsen blev opmærksom på, at det ikke var tilfældet, iværksatte politikredsen lokal stikprøvekontrol med virkning fra januar 2023. Bornholms Politi har på den baggrund ikke fundet anledning til at indføre yderligere tiltag efter afgørelsen af 17. maj 2024, siger Lisbet Hallengren Kristensen til Tidende.

'Kunne godt have ønsket mig, at det var gået hurtigere'

Hvorfor tog det Bornholms Politi mere end halvandet år at implementere minimumskravet om stikprøvekontrol?

– Det var i juni 2021, at vi modtog henvendelse fra Datatilsynet. Efterfølgende var der en periode, hvor vi var i dialog med Datatilsynet og Rigspolitiet, som også var involverede. Her blev der sendt oplysninger frem og tilbage. Som led i den proces blev vi her gjort opmærksomme på, at vi burde have foretaget lokale stikprøvekontroller, og at der her var en forpligtigelse, som vi ikke levede op til, forklarer Lisbet Hallengren Kristensen.

– Jeg husker ikke præcis på, hvilket tidspunkt vi bliver klar over, at den opgave ligger hos os. Man kan sige, det burde vi have vidst, men det gjorde vi ikke. Fra vi bliver klar over, at ansvaret for den opgave ligger hos os, gik der et stykke tid med at finde ud af, hvilken model vi skulle bruge til, at kunne leve op til vores forpligtigelser. Det tog noget tid, også længere tid end det burde have gjort. Det skyldes blandt andet, at vi skulle finde en praktisk og teknisk løsning. Jeg kunne da godt have ønsket mig, at det var gået hurtigere end det gjorde.

Var det ikke allerede fra den første henvendelse i juni 2021, at I bliver gjort bevidste om jeres ansvar?

– Jeg tror ikke, at Datatilsynet interesserer sig for, om Bornholms Politi var klar over, at vi havde den forpligtigelse eller ej. De observerede bare, at vi ikke har gjort det, vi skulle, og derfor kritiserer de os. Sådan skal det selvfølgelig også være. Det skal bare være i orden. Det kan godt være, at vi havde en fejlagtig opfattelse, men fakta er jo, at logkontrollen skal foretages. Det gjorde vi ikke, og det var kritisabelt. Det syntes vi selvfølgelig er meget beklageligt, at det ikke var i orden. Vi vil selvfølgelig gerne passe så godt som muligt på borgernes oplysninger.

Hvorfor var det kun jer og to andre politikredse ud af landets i alt 15 politikredse, som ikke havde styr på kontrollen med Polsas?

– Det kan jeg ikke udtale mig om.

Hvad tror du gjorde, at I var af den fejlagtige opfattelse, at det var Rigspolitiet, der havde ansvaret for kontrollen?

– Der er jo et delt ansvar, og vi har været af den fejlagtige opfattelse af, at det var Rigspolitiet, der udførte den kontrol. Det var det så ikke, det skulle vi have gjort. Det gjorde vi ikke, men det gør vi nu. Vi tager al kritik fra Datatilsynet meget meget alvorligt, siger Lisbet Hallengren Kristensen.

Polsas: Derfor er kontrollen så vigtig

Polsas, eller Politiets Sagsstyringssystem, indeholder en stor mængde fortrolige oplysninger, som kun må tilgås af autoriserede medarbejdere og kun i forbindelse med deres arbejdsopgaver.

Det er afgørende at føre kontrol med adgangen til Polsas, for at beskytte borgernes privatliv og sikre, at oplysningerne ikke misbruges. Regelmæssig logkontrol skal sikre, at der kan opdages og forebygges uautoriseret eller uberettiget adgang til de følsomme data, hvilket er en grundlæggende forudsætning for at opretholde datasikkerheden.

Under det langvarige tilsyn vurderede Datatilsynet, at Bornholms Politi ikke havde truffet passende tekniske og organisatoriske foranstaltninger, for at sikre tilstrækkelig datasikkerhed. Kritikken blev rejst, da Bornholms Politi kun udførte logkontrol ved konkret mistanke om misbrug og ikke havde implementeret faste procedurer for løbende stikprøvekontrol, som er et krav i henhold til retshåndhævelseslovens § 27. Dette udgjorde en alvorlig sikkerhedsrisiko, især fordi stort set alle ansatte havde adgang til alle sager og oplysninger i systemet.

Datatilsynet retter skarp kritik mod Bornholms Politi for manglende kontrol med adgang til følsomme personoplysninger om borgerne. Foto: Berit Hvassum