Sikkerhedsbrist hos IT-Universitetet i København
Brevdato: 29.05.09
Journalnummer: 2009-311-0180
Ved e-post af 14. februar 2009 klagede X til Datatilsynet over offentliggørelse af oplysninger om hans personnummer på internetsiden mit.itu.dk/trac/.
Ved e-post af 3. marts 2009 er IT-Universitetet i København (herefter ITU) fremkommet med en udtalelse i anledning af sagen.
ITU har oplyst, at internetsiden mit.itu.dk/trac/ er en del af et system, der holder styr på fejl / mangler i it-systemer hos ITU. Formålet er at registrere de ønsker, der måtte være, foretage opdatering af ønsker samt give opdragsgiveren mulighed for at se status og løsningsforslag. Systemet er tænkt som et system, der ikke må rumme personfølsomme data, men ved en menneskelig fejl er der blevet brugt navn og personnummer på en person for derigennem at eksemplificere den fejl, der ønskedes rettet.
ITU har oplyst, at systemet som udgangspunkt er et åbent system til intern brug, men at det fejlagtigt ikke blevet spærret for offentlig adgang. Dette forhold er der nu rettet op på.
Om den konkrete sag har ITU oplyst, at universitet efter henvendelsen om offentliggørelse af X’s personnummer, der var sendt c.c. til Datatilsynet, fjernede hans personnummer fra det nævnte system. Dernæst rettede ITU henvendelse til Google med henblik på at få slettet det fra deres søgeresultater. Endelig informerede ITU X om universitets tiltag og beklagede hændelsen.
Endvidere har ITU oplyst, at universitet har gennemgået systemet for at se, om der var andre tilfælde, hvor der var brugt navn / personnummer. Desværre fandt universitetet yderligere 16 tilfælde, som der nu også er rettet op. Universitetet har rettet henvendelse til disse personer og informerer dem om hændelsen. Endvidere har universitetet rettet henvendelse til Google. Alle anmodninger til Google om at fjerne søgedata er nu blevet accepteret, så man kan altså ikke finde personnumrene via Google søgninger.
ITU har oplyst, at universitetet har foretaget søgninger i de to andre store søgemaskiner, Yahoo samt MSN, og at disse søgemaskiner ikke har registreret de ovennævnte data.
Endvidere har ITU oplyst, at universitetet har foretaget et check af, hvorvidt en søgning på ”CPR” på universitetets internetsider fører til oplysninger om personnumre, hvilket ikke er tilfældet. Derudover har ITU nedsat en gruppe, der grundigt vil undersøge, om der er andre steder, hvor der uberettiget ligger personoplysninger offentligt tilgængeligt.
ITU har desuden oplyst, at alle ansatte vil blive mindet om, at de ikke må lægge personnumre på universitets intranet, universitets internet eller på universitetets kursushjemmeside.
Endelig har ITU oplyst, at det i forbindelse med introduktion til nye medarbejdere vil blive oplyst, at der ikke må ske uberettiget offentliggørelse af personoplysninger på universitetets internetsider, og at alle ansatte desuden vil blive mindet om dette en gang årligt.
Datatilsynet skal herefter udtale følgende: Persondataloven gælder ifølge lovens § 1, stk. 1, bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling.
Det følger af lovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf bl.a. fremgår, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysninger.
Det er Datatilsynets opfattelse, at en sikring af at personoplysninger ikke uberettiget gøres tilgængelige på internettet, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
I det konkrete tilfælde, hvor et internt system har været åbent for offentligheden, hvorved 17 personers personnumre er blevet lagt ud på internettet, finder Datatilsynet ikke, at ITU har udvist den fornødne omhu. ITU har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete kritisabelt.
Datatilsynet har noteret sig det oplyste om, at der nu er rettet op på systemet, så der ikke længere er tale om et åbent system.
Datatilsynet har endvidere noteret sig det oplyste om, at ITU straks efter henvendelsen fra X fjernede hans personnummer fra internettet og kontaktede Google med henblik på at få det fjernet fra Googles søgeresultater.
Endvidere har Datatilsynet noteret sig, at ITU ved en gennemgang af systemet har fundet 16 andre tilfælde, hvor der uberettiget var offentliggjort oplysninger om personnumre, og at disse nu er fjernet fra både systemet og Googles søgeresultater, samt at ITU i alle tilfældene har underrettet de berørte om det passerede.
Med hensyn til forholdsregler til sikring af, at der ikke fremover sker uberettiget offentliggørelse, har Datatilsynet noteret sig det oplyste om vejledning til medarbejderne.
Da Datatilsynet må lægge til grund, at den uberettigede offentliggørelse bl.a. skete som følge af, at det interne system ved en fejl ikke var spærret for offentlig adgang, skal tilsynet endvidere understrege vigtigheden af, at ITU fremover ved anskaffelse og udvikling af nye it-systemer sikrer sig, at kravene i persondataloven og sikkerhedsbekendtgørelsen iagttages, herunder at der er truffet de fornødne sikkerhedsforanstaltninger.
Datatilsynet har sendt kopi af dette brev til X og foretager sig herefter ikke yderligere i sagen.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside – uden angivelse af navnet på den borger, som har rejst sagen.