Journalnummer: 2019-442-3996
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor Herning Kommune anmeldte et brud på persondatasikkerheden, idet en databehandler havde overført personoplysninger til en ikke godkendt leverandør. Leverandøren, som databehandleren overførte personoplysninger til, behandlede oplysningerne i ikke sikre tredjelande.
Datatilsynet udtaler alvorlig kritik af, at databehandlerens overførsel af data til leverandøren var i strid med databeskyttelsesforordningen, hvorefter databehandlere ikke må gøre brug af databehandlere uden forudgående godkendelse fra den dataansvarlige. Ved sin udtalelse af graden af kritik lagde Datatilsynet vægt på, at der var tale om oplysninger vedrørende et højt antal registrerede, at oplysningerne omfattede personnummer, og at der var sket uhjemlet overførsel af personoplysninger til usikre tredjelande.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Herning Kommune den 3. september 2019 har anmeldt et brud på persondatasikkerheden til tilsynet, da personoplysninger tilsyneladende er blevet behandlet af en leverandør, som Herning Kommune ikke har godkendt som underdatabehandler.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at EG A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 6, stk. 1 og databeskyttelseslovens § 11, stk. 2, jf. databeskyttelsesforordningens artikel 28, stk. 10, jf. artikel 28, stk. 2, og artikel 44, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagens omstændigheder
Det fremgår af sagen, at Herning Kommune anvender økonomistyringssystemet ØS Indsigt, som kommunen ejer sammen med to regioner og 10 kommuner, der sammen udgør ”Ejerkredsen”. Systemet er udviklet af selskabet EG A/S (EG), der også står for den løbende udvikling, drift og vedligeholdelse. I det konkrete tilfælde er kommunerne og regionerne dataansvarlige, Ejerkredsen er databehandler og EG er underdatabehandler. Ejerkredsen og EG indgik underdatabehandleraftalen den 1. november 2018.
Af underdatabehandleraftalen fremgår, at leverandøren (EG) ikke må gøre brug af en underdatabehandler, medmindre dette fremgår af databehandleraftalen mellem Ejerkredsen og EG. Af den fremsendte underdatabehandlers bilag 2 fremgår en liste over specifikke godkendte underdatabehandlere.
Til drift af Service Desk Systemet, som er tilknyttet ØS Indsigt, anvender EG leverandøren ServiceNow, der er hjemmehørende i Holland, men har koncernselskaber i USA, Indien og Australien. ServiceNow fremgår ikke som godkendt underdatabehandler af underdatabehandleraftalen mellem Ejerkredsen og EG.
ServiceNow står for den løbende behandling af supportanmodninger fra medlemmer af Ejerkredsen vedrørende ØS Indsigt gennem Service Desk System. ServiceNow er ligeledes ansvarlige for at implementere systemopdateringer, sikkerhedsopdateringer og sikkerhedspatches, som implementeres globalt for Service Desk System. Der behandles som udgangspunkt alene personoplysninger om supportbrugernes navn og e-mailadresse i Service Desk System, men der kan i systemet være andre personoplysninger, hvis disse har været en del af en supportsag. For at sikre, at personoplysningerne ikke overføres til ServiceNows kontorer uden for EU, har EG deaktiveret en såkaldt ”follow the sun”-supportfunktion. ServiceNow oplyste i den forbindelse EG om, at når denne supportfunktion var deaktiveret, ville personoplysninger ikke blive behandlet af ServiceNows kontorer i tredjelande.
Den 12. august 2019 oplyser ServiceNow til EG, at ServiceNow, til trods for deaktiveringen af ”follow the sun”-supportfunktionen, ikke kan garantere, at personoplysninger ikke behandles i tredjelande, da ServiceNows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer til Service Desk Systemet.
Herning Kommune bliver den 20. august 2019 via Ejerkredsen opmærksom på, at EG anvender underdatabehandleren ServiceNow. Herning Kommune ophører fra dette tidspunkt med at behandle personoplysninger i Service Desk, mens kommunen sammen med Ejerkredsen forsøger at afklare, om der foreligger et brud på persondatasikkerheden. Kommunen anmelder det som et brud på persondatasikkerheden til Datatilsynet den 3. september 2019.
Af anmeldelsen fremgår, at bruddet omfatter oplysninger om navn, fødselsdato, kontaktoplysninger og personnummer på anslået 500 borgere.
2.1. Herning Kommunes bemærkninger
Herning Kommune har overordnet anført, at kommunen ikke var bekendt med, at EG anvendte underdatabehandleren ServiceNow, da denne ikke fremgik af databehandleraftalen mellem Ejerkredsen og EG. Efter kommunens opfattelse har EG ved anvendelsen af underdatabehandleren ServiceNow handlet uden for instruks.
I forbindelse med anmeldelse af bruddet har Herning Kommune bemærket, at anmeldelsen blev forsinket, fordi kommunen og Ejerkredsen skulle vurdere, om der var tale om et brud på persondatasikkerheden. Da kommunen og Ejerkredsen blev opmærksomme på, at personoplysninger behandles i tredjelande af en underdatabehandler, som Ejerkredsen ikke har godkendt, samt at overførselsgrundlaget er usikkert, anmeldte kommunen hændelsen til Datatilsynet som et brud på persondatasikkerheden.
2.2. EGs bemærkninger
EG har overordnet anført, at der ikke er tale om et brud på persondatasikkerheden, da der ikke er sket hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
EG har endvidere anført, at Ejerkredsen ikke har kunnet være i tvivl om, at EG anvendte ServiceNow som underdatabehandler, da det fremgik af tilbudsmaterialet samt af parternes drøftelser, at EG ville etablere SaaS-løsningen Service Desk System drevet af ServiceNow. EG har bemærket, at der var tale om en forglemmelse fra begge parters side, idet ServiceNow ikke fremgår som godkendt underdatabehandler i underdatabehandleraftalen.
Ifølge EG er det tvivlsomt, at der er sket en overførsel af personoplysninger til tredjelande, idet ServiceNows medarbejdere i tredjelande kun implementerer system- og sikkerhedspatches, hvor der efter EGs vurdering højst sandsynligt ikke sker behandling af personoplysninger, som er omfattet af aftaleforholdet mellem EG og Ejerkredsen. EG har dog ikke med sikkerhed kunne lægge til grund, at der ikke sker behandling af personoplysninger i forbindelse med implementeringen af disse patches, men såfremt der skulle ske behandling, er denne baseret på Privacy Shield og EU-Kommissionens standardaftaler, som er en del af den databehandleraftale, EG har indgået med ServiceNow. EG har i den forbindelse anført, at der efter EGs opfattelse foreligger et tilstrækkeligt grundlag for overførsel af personoplysninger til usikre tredjelande i aftalen mellem EG og ServiceNow.
3. Begrundelse for Datatilsynets afgørelse
På baggrund af den af Herning Kommune fremsendte underdatabehandleraftale mellem Ejerkredsen og EG har Datatilsynet lagt til grund, at aftalen kræver en specifik godkendelse af yderligere underdatabehandlere. Datatilsynet har ud fra sagens oplysninger endvidere lagt til grund, at ServiceNow ikke er en godkendt underdatabehandler i aftaleforholdet mellem Ejerkredsen, som er databehandler for de regioner og kommuner, der er medejere af systemet ØS Indsigt, og EG. EG har derfor ved videregivelsen af personoplysningerne til ServiceNow handlet uden for instruks. Det er således Datatilsynets vurdering, at EG ved selv at fastlægge formålet med behandlingen er dataansvarlig for videregivelsen af personoplysninger, jf. databeskyttelsesforordningens artikel 28, stk. 10.
Datatilsynet har i øvrigt lagt til grund, at personoplysningerne er kommet til uvedkommendes kendskab, idet ServiceNow ikke har været en godkendt underleverandør i aftaleforholdet mellem Ejerkredsen og EG.
Datatilsynet finder således, at EG i sin funktion som underdatabehandler for ejerne af ØS Indsigt – ved at videregive personoplysningerne til en leverandør, der ikke forudgående har været skriftligt godkendt af Ejerkredsen eller kommunerne og regionerne – har overtrådt databeskyttelsesforordningens artikel 28, stk. 2, og som dataansvarlig efter artikel 28, stk. 10, ikke har haft hjemmel jf. forordningens artikel 6, stk. 1 og databeskyttelseslovens § 11, stk. 2, til at overføre personoplysningerne til ServiceNow.
Datatilsynet finder endvidere, at EG, ved ikke at have hjemmel til at overføre personoplysningerne til ServiceNow, ligeledes ikke har hjemmel til at overføre personoplysningerne til tredjelande, jf. databeskyttelsesforordningens artikel 44, stk. 1, da overførsel kun må finde sted, hvis betingelserne i databeskyttelsesforordningens kapitel 5 med forbehold af de øvrige bestemmelser i forordningen er opfyldt.
Datatilsynet finder på den baggrund grundlag for at udtale alvorlig kritik af, at EGs behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1 og databeskyttelseslovens § 11, stk. 2, jf. databeskyttelsesforordningens artikel 28, stk. 10, jf. artikel 28, stk. 2, og artikel 44, stk. 1.
Datatilsynet har ved kritikkens grad lagt vægt på, at der er tale om et højt antal berørte registrerede, at de uretmæssigt videregivne oplysninger omfatter de registreredes personnummer, og at der desuden er sket en overførsel af personoplysninger til usikre tredjelande, som EG ikke har haft hjemmel til.
Det forhold, at EG har indgået en databehandleraftale med ServiceNow, og at denne databehandleraftale efter EGs vurdering sikrer et tilstrækkeligt overførselsgrundlag til usikre tredjelande, kan ikke føre til andet resultat, da EGs overførsel af personoplysninger til ServiceNow ikke har hjemmel i databeskyttelsesforordningen på baggrund af EGs manglende overholdelse af artikel 28, stk. 2, i forordningen.
Datatilsynet har noteret sig, at Herning Kommune ikke på nuværende tidspunkt anvender Service Desk System, mens der pågår forhandlinger om indsættelse af ServiceNow som underdatabehandler i databehandleraftalen mellem Ejerkredsen og EG.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).