Brud på persondatasikkerheden hos Randers Kommune

Dato: 15-04-2020

Datatilsynet har udtalt alvorlig kritik af Randers Kommunes behandling af personoplysninger, idet der har været offentliggjort personoplysninger på kommunens hjemmeside, og idet kommunen ikke har anmeldt den pågældende hændelse eller underrettet de berørte borgere i overensstemmelse med forordningens regler herom.

Journalnummer 2019-442-4873

Resumé

Datatilsynet har truffet afgørelse i en sag, hvor Randers Kommune har anmeldt et brud på persondatasikkerheden. Datatilsynet har i afgørelsen fundet grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med de databeskyttelsesretlige regler.

Datatilsynet har i afgørelsen lagt vægt på, at der på Randers Kommunes hjemmeside har været offentliggjort personoplysninger af beskyttelsesværdig karakter, herunder oplysninger om navne- og adressebeskyttelse og oplysninger om børns trivsel, diagnose og tilknytning til specialskole.

Datatilsynet har derudover lagt vægt på, at Randers Kommune ikke har anmeldt hændelsen som et brud på persondatasikkerheden til Datatilsynet inden for den i databeskyttelsesforordningen fastsatte frist, og at kommunen ikke har efterlevet kravene til indholdet eller tidspunktet for underretning af de berørte borgere.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Randers Kommune den 1. november 2019 anmeldte et brud på persondatasikkerheden.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1-2.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Randers Kommune anmeldte den 1. november 2019 et brud på persondatasikkerheden til Datatilsynet. Det fremgår af anmeldelsen, at kommunen den 18. oktober 2019, kl. 10:00, blev opmærksom på, at 15 høringssvar med personoplysninger var offentligt tilgængelige på kommunens hjemmeside.

Af høringssvarene fremgik oplysninger om navn og postnummer – herunder oplysninger om navne- og adressebeskyttelse – samt oplysninger om børns trivsel, diagnose og tilknytning til specialskole. Randers Kommune har præciseret, at der i 11 af høringssvarene fremgik oplysninger om familier med børn på specialskole, og at der i 4 af høringssvarene fremgik oplysninger om personer med navne- og adressebeskyttelse.

Randers Kommune har oplyst, at der i nogle af høringssvarene fremgik personoplysninger, som det ikke har været muligt for kommunen at identificere, og at kommunen på baggrund heraf ikke har kunne lave en endelig opgørelse af berørte personer. Kommunen har dog skønnet, at 11 berørte registrerede var under 18 år i hændelsesperioden.

Høringssvarene var tilgængelige på kommunens hjemmeside i perioden fra den 17. oktober 2019, kl. 09:52 – hvor det første høringssvar blev uploadet på kommunens hjemmeside – til den 18. oktober 2019, kl. 21:00, hvor alle oplysningerne blev fjernet fra kommunens hjemmeside. Årsagen til, at kommunen først anmeldte bruddet til Datatilsynet den 1. november 2019 er, at kommunen manglede et overblik over omfanget af hændelsen.

Randers Kommune har oplyst, at inden en person indsender et høringssvar, bliver personen – ad 3 omgange – gjort opmærksom på, at høringssvaret ikke må indeholde personoplysninger af fortrolig og følsom karakter. Personen bliver endvidere gjort opmærksom på, at kommunens medarbejdere gennemlæser og fjerner personoplysninger af fortrolig og følsom karakter inden høringssvaret bliver offentliggjort, i tilfælde af, at høringssvaret indeholder denne type oplysninger.

I forlængelse heraf har Randers Kommune oplyst, at årsagen til hændelsen var, at en række af kommunens medarbejdere – i forbindelse med gennemlæsning af høringssvarene – ikke var opmærksomme på, hvilke personoplysninger der ikke måtte fremgå i høringssvarene.

Randers Kommune har oplyst, at kommunen – grundet bruddets karakter – har valgt ikke at undersøge, i hvilket omfang uvedkommende har tilgået oplysningerne i den periode, hvor oplysningerne har ligget offentligt tilgængelig på kommunes hjemmeside. Kommunen har i forbindelse hermed oplyst, at det vil være muligt for kommunen at præcisere, hvor mange der har besøgt siden med de pågældende oplysninger, men at det ikke vil være muligt at præcisere, om de besøgende har set de pågældende oplysninger.

Randers Kommune har herudover oplyst, at kommunen på tidspunktet for anmeldelsen vurderede, at risikoen for de registreredes rettigheder ikke var så høj, at de berørte personer ville blive underrettet om hændelsen. Kommunen har efterfølgende – og som følge af Datatilsynets høringer til kommunen – foretaget en ny vurdering, og har på baggrund heraf valgt at underrette de personer, som de har kunnet identificere i høringssvarene, og om hvem der er offentliggjort følsomme personoplysninger. Underretning er sket den 20. januar 2020. Kommunen har i vurderingen lagt vægt på, at inden en person indsender et høringssvar, bliver personen gjort opmærksom på, at kommunen – forinden offentliggørelse – gennemlæser og sletter eventuelle oplysninger af følsom karakter.

Randers Kommune har endelig oplyst, at kommunen som følge af hændelsen vil fortsætte med at gennemlæse høringssvar inden offentliggørelse, og at kommunens medarbejdere vil få præciseret, hvilke oplysninger der skal slettes i høringssvar med høj risiko, dvs. eksempelvis høringer angående lukning af specialskoler, hvor der er risiko for, at der fremgår oplysninger af fortrolig og følsom karakter.

3. Begrundelse for Datatilsynets afgørelse

3.1.

På baggrund af det af Randers Kommune oplyste, lægger Datatilsynet til grund, at 15 høringssvar med personoplysninger har været offentligt tilgængelige på kommunens hjemmeside i perioden fra den 17. oktober 2019, kl. 09:52, til den 18. oktober 2019, kl. 21:00.

Datatilsynet finder, at der i forbindelse med det passerede er sket et brud på persondatasikkerheden, da der på Randers Kommunes hjemmeside har været offentliggjort personoplysninger, som har været tilgængelige for alle.

Datatilsynet finder på den baggrund, at Randers Kommune ikke har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har lagt vægt på, at hændelsen vedrører beskyttelsesværdige oplysninger, herunder oplysninger om navne- og adressebeskyttelse og oplysninger om børns trivsel, diagnose og tilknytning til specialskole. Datatilsynet har endvidere lagt vægt på, at kommunen har skønnet, at 11 af de berørte registrerede var under 18 år i hændelsesperioden.

Datatilsynet skal i den forbindelse bemærke, at håndtering af følsomme personoplysninger stiller større krav til medarbejdernes omhyggelighed i forbindelse med håndteringen af personoplysningerne.

Datatilsynet finder på baggrund heraf grundlag for at udtale alvorlig kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har noteret sig, at Randers Kommune – forinden hændelsen – havde instrueret kommunens medarbejdere i, hvilke personoplysninger der skal slettes i indsendte høringssvar, førend de bliver offentliggjort. Datatilsynet har i den forbindelse noteret sig, at disse instruktioner ikke er blevet fulgt i forbindelse med den pågældende hændelse.

Datatilsynet har endvidere lagt vægt på, at oplysningerne har været tilgængelige på medarbejderportalen i en kortere periode, fra den 17. oktober 2019, kl. 09:52, til den 18. oktober 2019, kl. 21:00, svarende til 1 dag og 11 timer.

Endvidere har Datatilsynet noteret sig, at Randers Kommune vil fortsætte med at gennemlæse høringssvar inden offentliggørelse, og at kommunens medarbejdere vil få præciseret, hvilke oplysninger der skal slettes i høringssvar med høj risiko.

3.2.

Datatilsynet finder endvidere, at Randers Kommune ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, om at anmelde det skete brud på persondatasikkerheden til Datatilsynet inden for den i bestemmelsen fastsatte frist.

Den dataansvarlige skal uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med et brud på persondatasikkerheden, anmelde bruddet til Datatilsynet. Hvis anmeldelsen ikke foretages inden for 72 timer, ledsages anmeldelsen af en begrundelse for forsinkelsen, jf. databeskyttelsesforordningens artikel 33, stk. 1.

Datatilsynet har i vurderingen lagt vægt på det af Randers Kommune oplyste om, at kommunen blev bekendt med bruddet den 18. oktober 2019, men at kommunen – grundet manglende overblik over omfanget af hændelsen – først anmeldte bruddet til Datatilsynet den 1. november 2019. Datatilsynet har videre lagt vægt på, at kommunen ikke er kommet med en tilstrækkelig begrundelse for, at anmeldelsen ikke er sket inden for fristen på 72 timer.

Datatilsynet skal i den forbindelse bemærke, at hvis de 72 timer overskrides, skal det være fordi, at det – af særlige grunde, som den dataansvarlige er i stand til at redegøre nærmere for – ikke var muligt for den dataansvarlige at foretage anmeldelsen inden fristens udløb.

Datatilsynet skal endvidere bemærke, at når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse, jf. databeskyttelsesforordningens artikel 33, stk. 4.

Det følger af side 13 i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden fra februar 2018, at de databeskyttelsesretlige regler anerkender, at de dataansvarlige ikke altid har alle de nødvendige oplysninger om et brud 72 timer efter, at de er blevet bekendt med det, da der ikke altid foreligger fuldstændige og tilbundsgående oplysninger om hændelsen i den indledende periode. Forordningen giver derfor mulighed for trinvis anmeldelse. Det vil sige, at en dataansvarlig – efter en indledende anmeldelse – kan kontakte tilsynsmyndigheden igen, hvis den dataansvarlige bliver bekendt med supplerende relevante oplysninger om bruddet. Datatilsynet skal i forbindelse hermed bemærke, at det ikke sanktioneres at rapportere en hændelse, der i sidste ende viser sig ikke at være et brud.

Datatilsynet finder på baggrund heraf grundlag for at udtale alvorlig kritik af, at Randers Kommune ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33, stk. 1.

3.3.

Datatilsynet finder endelig, at Randers Kommune ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1, om uden unødig forsinkelse at underrette de berørte personer om bruddet på persondatasikkerheden.

Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 34, stk. 1.

Datatilsynet har i vurderingen lagt vægt på det af Randers Kommune oplyste om, at kommunen blev bekendt med bruddet den 18. oktober 2019, men først foretog underretning af de berørte personer den 20. januar 2020. Datatilsynet har videre lagt vægt på, at Randers Kommune ikke ses at have dokumenteret, at underretningen skete uden unødig forsinkelse.

Datatilsynet har noteret, at Randers Kommune på tidspunktet for anmeldelsen vurderede, at risikoen for de registreredes rettigheder ikke var så høj, at de berørte personer ville blive underrettet om hændelsen. Datatilsynet har videre noteret, at kommunen efterfølgende – og som følge af Datatilsynets høringer til kommunen – har foretaget en ny vurdering, og at kommunen på baggrund heraf, har valgt at underrette de berørte personer.

Det er Datatilsynets opfattelse, at brud på persondatasikkerheden vedrørende beskyttelsesværdige oplysninger som udgangspunkt indebærer en høj risiko for de berørte borgeres rettigheder, da eksponering af sådanne oplysninger kan indebære alvorlige krænkelser for borgerne, eksempelvis ved krænkelse af borgerens integritet.

Datatilsynet finder, at bruddet sandsynligvis vil indebære en høj risiko for de registrerede personers rettigheder og frihedsrettigheder, idet hændelsen vedrører beskyttelsesværdige oplysninger, herunder oplysninger om børn, og at oplysningerne har været offentligt tilgængelige for alle, uden at det er dokumenteret i hvilket omfang uvedkommende har tilgået oplysningerne.

Datatilsynet finder på den baggrund, at Randers Kommune ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 34, stk. 1.

Datatilsynet finder endelig, at Randers Kommune ikke har underrettet de berørte personer om bruddet på persondatasikkerheden i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 2.

Underretning af den registrerede i henhold til databeskyttelsesforordningens artikel 34, stk. 1, skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er fastsat i artikel 33, stk. 1, litra b), c) og d).

Datatilsynet har i vurderingen lagt vægt på, at Randers Kommunes underretning til de berørte personer ikke indeholder en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden efter databeskyttelsesforordningens artikel 34, stk. 2, sammenholdt med artikel 33, stk. 3, litra c.

Datatilsynet finder på baggrund heraf grundlag for at udtale alvorlig kritik af, at Randers Kommune ikke har handlet i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 34, stk. 1-2.