Tilsyn med behandlingssikkerhed hos fagforening

Dato: 05-11-2019
Afgørelse Private virksomheder Kritik Påbud Tilsyn / egendriftssag Behandlingssikkerhed Password Usikker transmission Anmeldelse af brud på persondatasikkerheden

Journalnummer: 2019-41-0028

Resume

Kristelig Fagforening (herefter Krifa) var blandt de virksomheder, som Datatilsynet i 2019 havde udvalgt til tilsyn. Tilsynene fokuserede på behandlingssikkerhed, herunder særligt kryptering af e-mails, jf. databeskyttelsesforordningens artikel 32.

Datatilsynet har i anledning af tilsynet udtalt kritik af, at Krifa ikke har efterlevet kravene i databeskyttelsesforordningens artikel 32 og 33.

Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Krifa har overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af en e-mail, der er lagret på virksomhedens sikre webtjeneste til læsning af e-mail.

Herudover fremgår det af udtalelsen, at Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i perioden 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold, og uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.

Datatilsynet har fundet grundlag for at meddele Krifa påbud om ophøre med at benytte personnummeret på den person, som en e-mail til læsning på virksomhedens sikre webtjeneste vedrører, som password til læsning af e-mailen. Fristen for efterlevelse af påbuddet er den 26. november 2019.

Du kan læse Datatilsynets vejledende tekst om kryptering af e-mails her.

Afgørelse

Kristelig Fagforening (herefter Krifa) var blandt de virksomheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019.

Datatilsynets planlagte tilsyn fokuserede på behandlingssikkerhed, herunder særligt kryptering af e-mails, jf. databeskyttelsesforordningens artikel 32.

Efter anmodning fra Datatilsynet har Krifa i foråret 2019 i forbindelse med tilsynsbesøget udfyldt et spørgeskema og indsendt dette samt yderligere materiale til tilsynet. Tilsynsbesøget fandt sted den 9. april 2019.

Efter tilsynsbesøget med Krifa finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – anvender certifikatbaseret end-to-end kryptering i det omfang, modtageren understøtter det, når Krifa fremsender e-mails indeholdende fortrolige og følsomme personoplysninger.
  2. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – i det omfang, at modtageren ikke understøtter certifikatbaseret end-to-end kryptering, anvender en løsning kaldet Sikker@Mail, som fremsender end-to-end krypteret til databehandlerens server, hvorefter der med opportunistisk TLS fremsendes en adviseringsmail til modtageren, som indeholder et link til læsning af den oprindelige e-mail (efter indtastning af et password).
  3. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – fremsender adviseringsmails i forbindelse med fremsendelse af beskeder via Krifa Boks og Sikker@Mail, samt SMS’er med password til læsning af e-mails på Sikker@Mail server.
  4. At Krifa har overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af Sikker@Mail på webserver.
  5. At Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i perioden 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold, og uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.
  6. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2 – har påvist at have udarbejdet en risikovurdering, hvori der tages stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet.

Datatilsynet finder samlet set anledning til at udtale kritik af, at Krifa ikke har efterlevet databeskyttelsesforordningens krav i forhold til punkt 4 og 5.

Datatilsynet finder endvidere grundlagt for at meddele Krifa påbud om at ophøre med at benytte personnummeret på den person, som en Sikker@Mail til læsning på webserver vedrører, som password til læsning af e-mailen. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Fristen for efterlevelse af påbuddet er den 26. november 2019. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Nedenfor følger en nærmere gennemgang af Datatilsynets konklusioner.

1. Brug af kryptering ved transmission af fortrolige og følsomme personoplysninger over internettet

Krifa har forud for tilsynsbesøget oplyst, at fagforeningen sender fortrolige og følsomme personoplysninger via e-mail over internettet.

Krifa har hertil oplyst, at fagforeningen anser medlemskab af Kristelig Fagforening som en følsom personoplysning, men at fagforeningen betragter medlemskab af Kristelig A-kasse eller tilhørsforhold til Krifa (som et brand) som en almindelig personoplysning.

2. Om krypteringsløsningen

Krifa har oplyst, at når fagforeningen fremsender e-mails indeholdende fortrolige eller følsomme personoplysninger, anvendes en løsning kaldet Sikker@Mail. Løsningen er integreret i Outlook, og alle Krifa ansatte kan anvende den.

Når en e-mail sendes via Sikker@Mail, vil e-mailen blive forsøgt afsendt på en af følgende måder i prioriteret rækkefølge:

  1. Det undersøges, om modtagerdomænet findes på en liste over understøttede modtagerdomæner (kaldet tunnelmaillisten). Hvis modtagerdomænet findes på tunnelmaillisten sker der end-to-end kryptering med certifikat udstedt af Nets.
  2. Det undersøges, om modtageren har et publiceret og gyldigt Nets udstedt OCES II virksomhedscertifikat, og i så fald anvendes der end-to-end kryptering med det pågældende certifikat.
  3. Det undersøges, om modtageren har et publiceret og gyldigt Nets udstedt OCES II medarbejdercertifikat, og i så fald anvendes der end-to-end kryptering med det pågældende certifikat.
  4. Hvis modtageren ikke understøtter end-to-end kryptering med certifikat (punkt 1-3 ovenfor), bliver e-mailen sendt til en Sikker@Mail server hos databehandleren, hvor e-mailen opbevares krypteret i 30 dage. Derefter udsendes der en adviseringsmail via opportunistisk TLS til modtageren med et link til en webbaseret løsning, hvor e-mailen – efter indtastning af et password – kan læses og downloades.

Herudover anvender Krifa et sikkert webbaseret system kaldet Krifa Boks, som anvendes, når fagforeningen udveksler dokumenter med nuværende og tidligere medlemmer. Med Krifa Boks kan fagforeningen placere dokumenter lokalt på en server, hvorefter det nuværende eller tidligere medlem får tilsendt en adviseringsmail med oplysninger om, at der findes et nyt dokument til vedkommende i Krifa Boks. Adgang til Krifa Boks foregår ved brug af NemID eller med en kombination af brugernavn og password.

Krifa har oplyst, at fagforeningen ved end-to-end krypteret fremsendelse med certifikat har valgt at anvende krypteringsalgoritmen 3DES, idet flere modtagere ikke understøtter nyere algoritmer.

2.1. Fremsendelse af adviseringsmail

Krifa har oplyst, at adviseringsmails – både i forbindelse med nye dokumenter i Krifa Boks og i forbindelse med fremsendelse af e-mail til Sikker@Mail server – fremsendes automatisk via TLS 1.2 til Exchange Online. Herefter fremsendes adviseringsmailen til modtageren via opportunistisk TLS med understøttelse af version 1.0, 1.1 og 1.2. Det betyder, at der fra Exchange Online sker kryptering på transportlaget ved forsendelse af disse e-mails i det omfang, at modtageren understøtter modtagelse via TLS, og at e-mailen i modsat fald fremsendes uden kryptering.

Krifa har oplyst, at indholdet af en adviseringsmail afhænger af, om den er afsendt i forbindelse med nyt dokument i Krifa Boks eller i forbindelse med en Sikker@Mail e-mail.

Krifa har til Datatilsynet fremsendt eksempler på adviseringsmails sendt i forbindelse med beskeder i hhv. Krifa Boks og Sikker@Mail.

Er der tale om en adviseringsmail om ny e-mail i Sikker@Mail, vil adviseringsmailen bl.a. indeholde et id-nummer på e-mailen, et link til at læse e-mailen (hvorefter password er påkrævet) og den oprindelige e-mails emnefelt. I det pågældende eksempel på en adviseringsmail sendt i forbindelse med en Sikker@Mail er som emnefelt angivet ”FAG006-720-946”. Krifa har oplyst, at emnefeltet er journalnummeret på en sag, som et medlem har hos Krifa.

Krifa har generelt om tildeling af journalnumre til sager i Krifa oplyst, at der er tre typer af indledende bogstavkombinationer, og at disse er hhv. ”FAG”, ”AKS” og ”VIR”. Den pågældende bogstavkombination henviser til, hvilket af Krifas kompetencecentre, der har oprettet den pågældende sag i sagsbehandlingssystemet. Herunder vedrører ”FAG” juridisk faglige sagstyper og rådgivning, som er oprettet i Krifas juridiske centre eller specialcenter. Dette kan eksempelvis være sager med juridisk fagligt indhold (traditionelt fagforeningsarbejde) for medlemmer af Kristelig Fagforening, samt forespørgselssager med juridisk fagligt indhold for personer, som alene er medlem af Kristelig a-kasse eller hverken er medlem af Kristelig a-kasse eller Kristelig Fagforening. Bogstavkombinationen har dermed ingen eksplicit sammenhæng med, hvilken type af medlemskab, som modtagere af mailen har.

Er der tale om en adviseringsmail om et nyt dokument i Krifa Boks, vil både adviseringsmailens emnefelt og brødtekst indeholde bl.a. oplysninger om dokumentets navn. Hertil har Krifa oplyst, at en adviseringsmail – via det pågældende dokument navn – kan indeholde oplysninger om, at der er nyt i en sag, men også kan indeholde oplysninger om fx nyt informationsbrev eller kvittering for e-mail.

Krifa har oplyst, at adviseringsmails også sendes til ikke-medlemmer, og at der i så fald som udgangspunkt er tale om e-mails til tillidsrepræsentanter, arbejdsgivere eller andre lignende professionelle aktører.

2.2. Password til åbning af e-mails lagret på Sikker@Mail server

Krifa har oplyst, at når der fremsendes e-mail, som lagres på Sikker@Mail server (jf. punkt 4 ovenfor), så er det som udgangspunkt modtagerens personnummer, der anvendes som password.

Krifa har hertil oplyst, at personnummeret er valgt, så både modtageren og en evt. tredjepart – fx en advokat eller arbejdsgiver – kan tilgå e-mailen, og at personnummeret fungerer som genkendelsesmetode for både medlemmet og tredjeparten.

Krifa har desuden bemærket, at personnummeret aldrig oplyses, men at det anføres, at personnummeret er passwordet. Systemet understøtter anvendelsen af andre passwords, som kan aftales ad hoc, og som kan fremsendes via SMS til modtageren. Af den pågældende SMS fremgår ligeledes teksten fra adviseringsmailens emnefelt.

2.3. Sammenfatning

I forbindelse med Krifa Boks skal Datatilsynet bemærke, at det udelukkende er de adviseringsmails, som bliver sendt i forbindelse med nye dokumenter – og ikke Krifa Boks i sig selv – der har været genstand for tilsynsbesøget.

Datatilsynet kan på baggrund af det af Krifa oplyste konstatere, at emnefeltet fra en e-mail sendt med Sikker@Mail fremgår i både adviseringsmailen samt i SMS med password (såfremt en sådan sendes). Endvidere kan Datatilsynet konstatere, at oplysninger om dokumentnavnet fremgår i adviseringsmailen sendt ved nyt dokument i Krifa Boks.

Datatilsynet kan endvidere på baggrund af det af Krifa oplyste konstatere, at en adviseringsmail fra Krifa Boks kan indeholde oplysninger om, at der er nyt i modtagerens sag, og at emnefeltet på en e-mail fremsendt via Sikker@Mail kan indeholde oplysninger om et sagsnummer.

Endelig kan Datatilsynet konstatere, at Krifa fremsender adviseringsmails via opportunistisk TLS uden nogen garanti for, at indholdet er krypteret, og at SMS’er med password til læsning af e-mail på Sikker@Mail server fremsendes ukrypteret.

På baggrund af det af Krifa oplyste om, at et journalnummer med indledningen ”FAG” ikke er ensbetydende med, at modtageren er medlem af Kristelig Fagforening, lægger Datatilsynet til grund, at det ikke ud fra journalnummeret i adviseringsmailen sendt i forbindelse med Sikker@Mail e-mailen er muligt at udlede modtagerens fagforeningsmæssige tilhørsforhold.

Datatilsynet finder endvidere, at en oplysning om, at en person er medlem af Krifa, ikke i sig selv er en fortrolig eller følsom oplysning. Datatilsynet har i den forbindelse lagt vægt på, at Krifa er en samlebetegnelse for to foreninger, Kristelig A-kasse og Kristelig Fagforening, og at det er muligt at være medlem af Kristelig A-kasse uden at være medlem af Kristelig Fagforening. Det er således Datatilsynets vurdering, at en oplysning om, at en person er medlem af Krifa, ikke er ensbetydende med, at den pågældende har et fagforeningsmæssigt tilhørsforhold til Kristelig Fagforening.

Datatilsynet finder herudover, at de pågældende adviseringsmails, som er blevet forelagt Datatilsynet, ikke indeholder oplysninger, hvoraf det er muligt at udlede fagforeningsmæssige tilhørsforhold eller oplysninger af følsom eller fortrolig karakter.

Datatilsynet lægger dermed til grund, at det ikke er muligt at udlede følsomme og fortrolige oplysninger af de udsendte adviseringsmails fra Krifa Boks, Sikker@Mail samt SMS’er med password til læsning af e-mail på Sikker@Mail server.

Når Krifa anvender fremgangsmåden, hvor der sendes adviseringsmail via opportunistisk TLS samt SMS med password til læsning af Sikker@Mail – der potentielt begge fremsendes ukrypteret – afhænger fortroligheden af den pågældende Sikker@Mail e-mail af to adgangsgivende oplysninger, dvs. id-nummeret (fra adviseringsmailen) og passwordet (fra SMS’en). Datatilsynet finder, at Krifa ved denne fremgangsmåde har truffet de fornødne tekniske foranstaltninger til at sikre fortroligheden af den pågældende Sikker@Mail, idet utilsigtet adgang hertil kræver adgang til både modtagerens SMS og e-mail.

Sammenfattende er det således Datatilsynets vurdering, at Krifas fremsendelse af adviseringsmails og SMS’er med passwords til læsning af Sikker@Mail er i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.

I forhold til, at Krifa som password til læsning af Sikker@Mail på webserver som standard anvender personnummeret på den person, som e-mailen vedrører, er det Datatilsynets opfattelse, at Krifa ikke må basere fortroligheden af personoplysninger der behandles, på personoplysninger i sig selv, herunder ved fx at bruge personnummeret som adgangsgivende faktor til de registrerede oplysninger.

Datatilsynet har herved lagt vægt på, at en fødselsdato er en almindelig, ikke-følsom personoplysning, der ofte vil være kendt af andre end den registrerede, at tildeling af et personnummer følger en offentlig kendt metode, hvormed de mulige personnumre for en given fødselsdato kan indskrænkes til et lille antal muligheder, og at et personnummer anvendes bredt på tværs af myndigheder mv., hvilket medfører en høj sandsynlighed – og dermed forhøjet risiko – for, at fortroligheden af de oplysninger, som adgangskontrollen skal sikre, kompromitteres.

På den baggrund er det Datatilsynets vurdering, at Krifa ikke har gennemført passende sikkerhedsforanstaltninger, som påkrævet efter databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet opfordrer endvidere Krifa til at udfase brugen af algoritmen 3DES, da algoritmen ikke findes tidssvarende. Datatilsynet skal i den forbindelse bemærke, at kendte sårbarheder[1] ved 3DES gør algoritmen usikker i visse anvendelser, men at e-mail ikke er omfattet af disse anvendelser. Datatilsynet skal dog alligevel opfordre Krifa til at udfase brugen af 3DES, idet algoritmen ikke findes tidssvarende, og fordi mere sikre alternativer er frit tilgængelige.

3. Tilfælde hvor kryptering ikke har været anvendt

Krifa har forud for tilsynsbesøget oplyst, at fagforeningen kender til fire tilfælde siden 1. januar 2019, hvor e-mails – hvoraf oplysninger om fagforeningsmæssig tilhørsforhold kan udledes – er blevet sendt uden den ønskede kryptering. Det vil sige, at de pågældende e-mails er sendt med opportunistisk TLS frem for anvendelse af Krifa Boks eller Sikker@Mail. Krifa har hertil oplyst, at de pågældende e-mails efter undersøgelse er konstateret fremsendt med TLS 1.2 til det første hop.

Krifa har endvidere oplyst, at der i perioden 1. januar til 28. februar 2019 – grundet en fejl, hvor der i brødteksten fremgik ordet ”Fagforening” i stedet for ”Krifa” – har sendt 1.544 adviseringsmails via opportunistisk TLS, hvoraf oplysninger om fagforeningsmæssig tilhørsforhold muligvis kan udledes.

Krifa har oplyst, at hændelserne ikke er anmeldt til Datatilsynet efter databeskyttelsesforordningens artikel 33. Krifa har oplyst, at dette ikke er sket på baggrund af en vurdering af, om Krifa er sikre på, at e-mailen er stilet til den korrekte modtager, og om modtageren er en privat person eller professionel aktør. Endvidere har Krifa oplyst, at vurderingen tager højde for, at de pågældende e-mails er fremsendt med opportunistisk TLS, og at fagforeningens statistisk for marts 2019 viser, at der blev anvendt TLS for mindst 99,74% af de sendte e-mails.

3.1. Sammenfatning

Datatilsynet lægger på baggrund af det af Krifa oplyste til grund, at fagforeningen siden den 1. januar 2019 har dokumenteret to kategorier af hændelser, hvor e-mails med følsomme personoplysninger er blevet fremsendt ukrypteret.

På den baggrund er det Datatilsynets vurdering, at Krifa ikke har gennemført passende sikkerhedsforanstaltninger som påkrævet efter databeskyttelsesforordningens artikel 32.

Det er endvidere Datatilsynets vurdering, at de pågældende brud på persondatasikkerheden burde have været anmeldt til tilsynet, jf. databeskyttelsesforordningens artikel 33.

Datatilsynet har i den forbindelse lagt vægt på, at der – i strid med tilsynets praksis samt Krifas egne retningslinjer og risikovurdering – er fremsendt ukrypterede e-mails med følsomme personoplysninger, hvorfor der må påregnes en risiko for de registreredes rettigheder og frihedsrettigheder i forbindelse med de konkrete hændelser.

4. Risikovurdering

Datatilsynet har noteret, at Krifa forud for tilsynsbesøget har fremsendt en skriftlig risikovurdering til tilsynet dateret den 20. december 2018, som har fokus på fremsendelse af fortrolige og følsomme personoplysninger over internettet.

Datatilsynet har noteret sig, at risikovurderingen tager afsæt i 8-12 hovedparametre, hvor der er foretaget en konkret værdiansættelse af hver enkelt risiko, der er forbundet med behandlingen af personoplysninger.

4.1. Sammenfatning

Det er Datatilsynets vurdering, at Krifa i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2, har påvist at have udarbejdet en risikovurdering, hvori der tages stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet.

5. Konklusion

Efter tilsynsbesøget med Krifa finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – anvender certifikatbaseret end-to-end kryptering i det omfang, modtageren understøtter det, når Krifa fremsender e-mails indeholdende fortrolige og følsomme personoplysninger.
  2. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – i det omfang, at modtageren ikke understøtter certifikatbaseret end-to-end kryptering, anvender en løsning kaldet Sikker@Mail, som fremsender end-to-end krypteret til databehandlerens server, hvorefter der med opportunistisk TLS fremsendes en adviseringsmail til modtageren, som indeholder et link til læsning af den oprindelige e-mail (efter indtastning af et password).
  3. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 32 – fremsender adviseringsmails i forbindelse med fremsendelse af beskeder via Krifa Boks og Sikker@Mail, samt SMS’er med password til læsning af e-mails på Sikker@Mail server.
  4. At Krifa har overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af Sikker@Mail på webserver.
  5. At Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i perioden 1. januar 2019 til 9. april 2019 at have sendt e-mails ukrypteret, hvor der kunne udledes oplysninger om fagforeningsmæssigt tilhørsforhold, og uden at have anmeldt hændelserne til Datatilsynet som brud på persondatasikkerheden.
  6. At Krifa – i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2 – har påvist at have udarbejdet en risikovurdering, hvori der tages stilling til risikoen forbundet med fremsendelse af fortrolige og følsomme personoplysninger over internettet.

Datatilsynet finder samlet set anledning til at udtale kritik af, at Krifa ikke har efterlevet databeskyttelsesforordningens krav i forhold til punkt 4 og 5.

Datatilsynet skal endvidere meddele Krifa påbud om at ophøre med at benytte personnummeret på den person, som en Sikker@Mail til læsning på webserver vedrører, som password til læsning af e-mailen. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

6. Afsluttende bemærkninger

Datatilsynet bemærker, at i forhold til sikkerhedsbruddene vedrørende fremsendelsen af de 1.544 adviseringsmails, har Datatilsynet taget stilling til hændelsen i forbindelse med denne tilsynssag. Krifa skal på baggrund heraf ikke anmelde sikkerhedsbruddene til Datatilsynet.

Datatilsynet afventer herefter en bekræftelse fra Krifa på, at påbuddet er efterlevet. Bekræftelsen skal være Datatilsynet i hænde senest den 26. november 2019.

 

[1]   Se Bhargavan og Leurent On the Practical (In-)Security of 64-bit Block Ciphers (ACM CCS 2016) og NIST SP 800-57 Part 1 Revision 4 (afsnit 5.6.1)