L’autorité danoise de protection des données a pris une décision dans une affaire dans laquelle l’autorité danoise de protection des données a effectué une visite d’inspection physique dans la municipalité de Brøndby à l’automne 2023. Dans cette affaire, l’autorité danoise de protection des données a exprimé de sérieuses critiques selon lesquelles la municipalité de Brøndby n’avait pas pris mesures de sécurité appropriées.
L’autorité danoise de protection des données a effectué une visite d’inspection dans la municipalité de Brøndby à l’automne 2023. L’inspection s’est concentrée sur deux thèmes centraux : le contrôle périodique des droits d’accès et l’utilisation de l’authentification multifacteur/authentification multifacteur (MFA) lors de l’accès au les systèmes informatiques de la municipalité directement depuis Internet. Les thèmes ont été choisis sur la base, entre autres, de Les recommandations de l’Autorité de protection des données à la municipalité de Brøndby dans le cadre des inspections écrites de 2021 et 2022, au cours desquelles la maturité de la municipalité dans le domaine de la protection des données (inspection de maturité) a été examinée de plus près.
L’autorité danoise de protection des données a conclu dans cette affaire que la municipalité de Brøndby n’avait pas effectué de contrôles documentés continus de l’accès des utilisateurs ordinaires à KMD Nexus (c’est-à-dire les utilisateurs qui ne disposent pas de droits étendus/droits d’administrateur), depuis les contrôles les plus récents effectués par la municipalité avant les visites d’inspection ont été effectuées en janvier 2020 et mars 2021 .
En outre, la municipalité de Brøndby n’avait pas mis en œuvre la MFA lors de l’accès à KMD Nexus, SAPA ou Momentum directement depuis Internet jusqu’au 15 novembre 2023. La MFA n’a été mise en œuvre qu’après que l’autorité danoise de protection des données a notifié l’inspection à la municipalité de Brøndby et cinq ans après que la municipalité Dans une évaluation des risques réalisée par KMD, Nexus avait estimé que l’absence de MFA lors de la connexion directe depuis Internet constituait une vulnérabilité.
Dans ce contexte, l’autorité danoise de protection des données a vivement critiqué le fait que la municipalité de Brøndby n’avait pas pris les mesures de sécurité appropriées.