Kommunes overtrædelse af persondataloven
Brevdato: 22.05.01
Journalnummer: 2000-623-0003
Datatilsynet foretog den 5. december 2000 inspektion i A Kommune. Efter inspektionen er A i brev af 12. februar 2001 kommet med en udtalelse i sagen.
Datatilsynet skal hermed gøre Kommunalbestyrelsen i A opmærksom på følgende konstaterede overtrædelser af lov om behandling af personoplysninger (persondataloven):
- Manglende anmeldelse til Datatilsynet af 2 systemer, som har været anvendt i A i over 10 år, og som A ligeledes manglede at fastsætte registerforskrifter for efter den tidligere gældende lov om offentlige myndigheders registre.
- Manglende logning af anvendelser af brugen af oplysninger i social- og sundhedsforvaltningens journalsystem og dermed ikke tilstrækkelige sikkerhedsforanstaltninger.
Sagens omstændigheder
Det er oplyst, at A’s social- og sundhedsforvaltning anvender et journalsystem, der er baseret på en Word-skabelon, således at den enkelte journal føres som et dokument i Word. I systemet behandles almindelige id-oplysninger samt detaljerede følsomme oplysninger om de personer, der har en sag i social- og sundhedsforvaltningen. I systemet anvendes personnummer som søgekriterium. Når et dokument vedrørende en person har opnået en vis størrelse (ca. 30 - 40 sider) udskrives dokumentet og lægges på den tilhørende manuelle (papirbaserede) sag. Herefter slettes dokumentet.
Systemet har været i drift siden ca. 1988 og er placeret på en central server.
Der har ikke været fastsat forskrifter for systemet i henhold til den tidligere gældende lov om offentlige myndigheders registre.
Systemet er endvidere ikke anmeldt til Datatilsynet efter reglerne i persondataloven.
Om det sikkerhedsmæssige vedrørende systemet er det oplyst, at oplysningerne er sikret ved autorisationskontrol på Novell-login niveau ved bruger2 begrænset adgang til områder, der indeholder oplysninger fra systemet. Det er ikke muligt at foretage logning i systemet.
Det er endvidere oplyst, at kommunen i hjemmeplejen har et system kaldet Cyklon. Dette system har været anvendt siden ca. 1990, og der har heller ikke for dette system været fastsat forskrifter efter den nu ophævede lov om offentlige myndigheders registre. I Cyklon bliver der foretaget autorisationskontrol og logning.
A har oplyst, at kommunen på social- og sundhedsforvaltningens område har truffet aftale med Kommunedata A/S om brug af et system kaldet "Grafisk journal-og notatark".
Endvidere er det oplyst, at Cyklon vil blive udskiftet med et nyere system - f.eks. Rambøl-Care. Det forventes, at begge ændringer træder i kraft inden sommeren 2001.
Kommunen har også oplyst, at man har iværksat udarbejdelse af en uddybende it-sikkerhedsforskrift, og at problemstillingen med anmeldelsespligtige behandlinger efter persondataloven i den forbindelse vil blive afklaret.
A har afslutningsvis oplyst, at den manglende fastsættelse af forskrifter i henhold til lov om offentlige myndigheders registre skyldes manglende agtpågivenhed.
Datatilsynet har pr. dags dato ikke modtaget A’s anmeldelse af nogen af de to systemer.
Datatilsynets bemærkninger
Om anmeldelsespligt:
Persondataloven indeholder i kapitel 12 regler om anmeldelse af behandlinger, der foretages for den offentlige forvaltning.
Inden iværksættelse af en behandling af personoplysninger, som foretages for den offentlige forvaltning, skal den dataansvarlige eller dennes repræsentant i medfør af persondatalovens § 43, stk. 1, foretage anmeldelse til Datatilsynet.
Dog er behandling, som ikke omfatter oplysninger af fortrolig karakter, ved lovens § 44, stk. 1, undtaget fra anmeldelsespligten. En sådan behandling kan uden anmeldelse endvidere omfatte identifikationsoplysninger, herunder personnummer, og oplysninger om betaling til og fra en offentlig myndighed.
Der findes yderligere undtagelser fra anmeldelsespligten i lovens § 44, stk. 3, samt Justitsministeriets bekendtgørelse nr. 529 af 15. juni 2000 om undtagelse fra pligten til anmeldelse af visse behandlinger, som foretages for den offentlige forvaltning.
Behandlinger, der omfatter følsomme oplysninger, er ikke fritaget fra anmeldelsespligten. Følsomme oplysninger er de oplysninger, som er nævnt i lovens § 7, stk. 1, og § 8, stk. 1, som blandt andet omfatter oplysninger om helbredsmæssige forhold, strafbare forhold og væsentlige sociale problemer.
Når behandlingen omfatter oplysninger, som er omfattet af lovens § 7, stk. 1, og § 8, stk. 1, dvs. følsomme oplysninger, er det efter lovens § 45, stk. 1, tillige et krav, at Datatilsynets udtalelse skal indhentes, inden behandlingen iværksættes.
For behandlinger, der foretages for den offentlige forvaltning, og som er iværksat før den 24. oktober 1998, følger det af lovens § 77, stk. 2, at reglerne i lovens kapitel 12 om anmeldelse skulle have været opfyldt den 1. april 2001.
Såvel social- og sundhedsforvaltningens journalsystem som Cyklon-systemet anvendes til behandling af følsomme oplysninger, som beskrevet i § 7, stk. 1, og § 8, stk. 1, i persondataloven. Der er således tale om behandlinger, som er omfattet af anmeldelsespligten i lovens § 43 og kravet om udtalelse fra Datatilsynet i lovens § 45.
Datatilsynet må konstatere, at A ikke har iagttaget de nævnte regler.
Datatilsynet må endvidere konstatere, at begge systemer har været anvendt i ganske lang tid, og at procedurereglerne i den tidligere gældende lov om offentlige myndigheders registre ej heller var iagttaget. Efter disse regler skulle der blandt andet fastsættes registerforskrifter for systemer som disse.
Samlet finder Datatilsynet derfor, at A’s manglende opfyldelse af såvel reglerne i persondatalovens kapitel 12 som den tidligere lov om offentlige myndigheders registre er kritisabel.
Tilsynet skal henstille, at A snarest foretager anmeldelser i overensstemmelse med persondatalovens kapitel 12.
Om datasikkerhed:
Efter lovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Nærmere regler om de sikkerhedsforanstaltninger, som den dataansvarlige skal træffe, er fastsat i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen).
Enhver behandling af personoplysninger, som foretages for den offentlige forvaltning helt eller delvist ved hjælp af elektronisk databehandling, skal ske i overensstemmelse med sikkerhedsbekendtgørelsens kapitel 1-2.
Behandlinger af personoplysninger, hvor der skal ske anmeldelse til Datatilsynet efter reglerne i kapitel 12 i persondataloven, skal tillige ske i overensstemmelse med bestemmelserne i sikkerhedsbekendtgørelsens kapitel 3 (§ 15 - § 19). Reglerne i kapitel 3 omhandler således supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger.
Af § 19, stk. 1, følger, at der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium.
Et tilsvarende krav fulgte af lov om offentlige myndigheders registre § 12 samt de krav, som Registertilsynet stillede i den praksis, der var udviklet efter denne bestemmelse.
Datatilsynet må konstatere, at A for så vidt angår registreringer/behandlinger, der er foregået i social- og sundhedsforvaltningen i de sidste godt 12 år, ikke har foretaget logning, samt at man på nuværende tidspunkt heller ikke opfylder de gældende regler i sikkerhedsbekendtgørelsen om sådan logning.
På denne baggrund - og særligt på baggrund af den længerevarende undladelse af overholdelse af kravet om logning - finder Datatilsynet, at A’s undladelse af at træffe de fornødne sikkerhedsforanstaltninger er særdeles kritisabel.
Datatilsynet har noteret sig, at kommunen har taget initiativ til at få bragt kommunens behandling af personoplysninger i overensstemmelse med persondataloven, og at det omhandlede journalsystem forventes erstattet af en nyt system i sommeren 2001.
Datatilsynet skal anmode om at blive underrettet, når A har implementeret det omtalte nye system, som tilsynet forudsætter opfylder reglerne i sikkerhedsbekendtgørelsen.
Datatilsynet skal understrege, at den fortsatte anvendelse af tekstbehandling som journalsystem i social- og sundhedsforvaltningen ikke lever op til persondataloven og sikkerhedsbekendtgørelsen og derfor skal bringes til ophør snarest muligt.
A bedes oplyse, hvad kommunen agter at foretage sig i anledning af sagen.
Dette brev vil blive offentliggjort på Datatilsynets hjemmeside.