Tilsyn med anmeldelse af brud på persondatasikkerheden: Køge Kommune

Dato: 08-12-2020

I tilsynet med Køge Kommune konkluderer Datatilsynet, at der er grundlag for at udtale kritik. Køge Kommune har i et enkelt tilfælde ikke levet op til kravet om, at alle behandlinger af personoplysninger er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningen.

Journalnummer: 2019-423-0207

Resume

Datatilsynet har i november 2020 afsluttet 15 planlagte tilsyn, der skulle belyse de dataansvarliges evne til at foretage de relevante anmeldelser af brud på persondatasikkerheden. Generelt har det været glædeligt at kunne konstatere, at alle de undersøgte dataansvarlige har haft fokus på opgaven, hvor der i de respektive organisationer var den fornødne viden og rutine, sådan at sikkerhedshændelser blev opfanget og indberettet.

Der er udtalt kritik i to af sagerne: Begge hændelser var anmeldelsespligtige brud på persondatasikkerheden, der alene var klassificeret som sikkerhedshændelser. Den konkrete vurdering af, om der var tale om en behandling af oplysninger om fysiske personer, var ikke foretaget korrekt af den pågældende aktør.

Køge Kommune var blandt de offentlige myndigheder, som Datatilsynet i foråret 2019 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som navnlig fokuserede på, om Køge Kommune foretager anmeldelse af brud på persondatasikkerheden i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, og om kommunen opfylder kravet om at dokumentere alle brud på persondatasikkerheden, jf. artikel 33, stk. 5.

Køge Kommune har endvidere i forbindelse med tilsynet efter anmodning fra Datatilsynet generelt redegjort for kommunens uddannelse af medarbejdere – i forhold til håndteringen af brud på persondatasikkerheden – med henblik på, at kommunen kan iagttage databeskyttelsesforordningens artikel 33.

Datatilsynets tilsyn blev ved brev af 11. marts 2019 varslet over for Køge Kommune, og kommunen blev ved samme lejlighed anmodet om bl.a. at besvare en række spørgsmål.

Ved brev af 14. marts 2019 sendte Køge Kommune en udtalelse, hvor kommunen i tilknytning til svarene på Datatilsynets spørgsmål sendte dokumentation (i form af flere dokumenter), der belyser alle registrerede informationssikkerhedshændelser, herunder alle registrerede brud på persondatasikkerheden som er anmeldt til Datatilsynet i perioden fra 25. maj 2018 til og med 8. marts 2019. Køge Kommunes svar var endvidere vedlagt en række andre dokumenter, herunder kommunens informationssikkerhedspolitik, pjecer og procedurebeskrivelser, som kommunen anvender for at efterleve artikel 33 i databeskyttelsesforordningen.

1. Afgørelse

Efter tilsynet med Køge Kommune finder Datatilsynet anledning til sammenfattende at konkludere, at der er grundlag for at udtale kritik af, at Køge Kommune i et enkelt tilfælde ikke har levet op til kravet om, at alle behandlinger af personoplysninger er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33.

I de resterende undersøgte tilfælde, er det Datatilsynets opfattelse at Køge Kommune har iværksat de foranstaltninger, der er nødvendige for at kunne overholde kravene i databeskyttelsesforordningens artikel 33, stk. 1, og derved sikre, at brud på persondatasikkerheden opfanges i organisationen og registreres, sådan at disse altid bliver vurderet med henblik på om bruddet skal anmeldes til Datatilsynet.

Endvidere finder Datatilsynet, at Køge Kommune samlet set har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Det er herudover Datatilsynets vurdering, at Køge Kommune har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden. 

Det fremgår endvidere af sagen, at Køge Kommune har iværksat forskellige aktiviteter med henblik på at uddanne og informere medarbejdere om databeskyttelse, herunder om håndteringen af brud på persondatasikkerheden.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.

2. Anmeldelse af brud på persondatasikkerheden

Et brud på persondatasikkerheden er i databeskyttelsesforordningens artikel 4, nr. 12, defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Det følger endvidere af databeskyttelsesforordningens artikel 33, stk. 1, at ved brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet på persondatasikkerheden anmelde dette til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, skal den ledsages af en begrundelse for forsinkelsen.

Køge Kommune har i kommunens udtalelse af 14. marts 2019 til Datatilsynet oplyst, at der i perioden fra 25. maj 2018 til og med 8. marts 2019 er registreret i alt 31 informationssikkerhedshændelser i kommunen. Ifølge Køge Kommunen er 10 af disse informationssikkerhedshændelser ”rene” informationssikkerhedshændelser, som efter kommunens vurdering ikke kan betegnes som brud på persondatasikkerheden, og det er således alene 21 hændelser, som Køge Kommune har kategoriseret som egentlige brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12. Ud af de 21 brud har Køge Kommune anmeldt de 11 til Datatilsynet, to sager er anset som anmeldt til Datatilsynet i forbindelse med klager behandlet af Datatilsynet og i de 8 resterende tilfælde har kommunen vurderet, at der ikke var pligt til at anmelde bruddet til Datatilsynet. 

Datatilsynet har ved tilsynet taget stilling til, hvorvidt Køge Kommune har levet op til kravet om, at alle relevante brud på persondatasikkerheden er blevet anmeldt til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1.

For så vidt angår de 10 hændelser, som af Køge Kommune er kategoriseret som ”rene” informationssikkerhedshændelser, har Datatilsynet vurderet disse og konkluderet, at der er en af disse hændelser, der burde have været registreret, som et brud på persondatasikkerheden. Denne ene hændelse er blevet registreret den 18. juni 2018 og vedrører et brud, som er sket i Køge Kommunes tandpleje under Børne og Uddannelsesforvaltningen. Kommunen har i hændelsesbeskrivelsen fra samme dato oplyst, at der på grund af opbevaring af oplysninger på et fællesdrev uden adgangskontrol, har været fri adgang til patientoplysninger i form af tandlægedata, herunder navn, cpr. oplysninger, patientdata og røntgenbilleder, og at dato og tidpunkt for bruddet er ukendt. Kommunen har endvidere vurderet, at det er usandsynligt, at bruddet indebærer en risiko for de registrerede og deres rettigheder, med den begrundelse, at der er minimal risiko for at kende den nøjagtige sti til røntgenmappen, hvori de nævnte personoplysninger var gemt og derfor, er bruddet ikke blevet anmeldt. Det fremgår ikke af den indsendte dokumentation hvor mange personer, der er berørt af bruddet.      

Datatilsynet har ud fra de oplysninger, som Køge Kommune har angivet i hændelsesbeskrivelsen, lagt følgende til grund: 

  • at Køge Kommune er dataansvarlig for behandlingen af oplysningerne hos tandplejen
  • at der har været utilsigtet potentiel adgang til personoplysninger, herunder navn, cpr.nr., patientdata og røntgenbilleder, der var placeret i en mappe på kommunens administrative netværk, idet der ikke var lavet adgangsbegrænsning til indholdet i mappen
  • at der ikke ved logning eller lignende foranstaltning er sket kontrol af adgang til filerne.
  • at der ikke er godtgjort forhold der underbygger, at adgangen ikke kan være benyttet af andre ansatte i kommunen med adgang til netværket
  • at det ikke fremgår, hvor mange personer, der er berørt af bruddet
  • at dato og tidspunkt for bruddet ikke kendes, og derved vides det ikke, hvor lang tid bruddet har stået på
  • at det ikke fremgår, om det har været vurderet, om det har været nødvendig, at underrette de berørte

På denne baggrund er det Datatilsynet opfattelse, at der er tale om et brud på persondatasikkerheden jf. databeskyttelsesforordningens artikel 4, nr. 12, da der har været utilsigtet adgang de pågældende personoplysninger, der blev behandlet ved opbevaring. Henset til at Køge Kommune har oplyst, at der ikke har været adgangsbegrænsning til stien på netværket, og da kommunen ikke har kunne godtgøre, at denne adgang ikke er blevet brugt (fx ved dokumentation af logfiler), kan det ikke anses for usandsynligt, at der har været en risiko for de registreredes rettigheder. Bruddet skal derfor dels fremgå af artikel 33, stk. 5 listen og skulle have været anmeldt til Datatilsynet, jf. databeskyttelsesforordningens artikel 33, stk. 1.

For så vidt angår de 9 andre ”rene” informationssikkerhedshændelser har Datatilsynet ikke fundet grundlag for at tilsidesætte kommunens vurdering af, at de pågældende hændelser ikke har karakter af brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

For så vidt angår de resterende 21 hændelser, har Datatilsynet, modtaget 11 heraf som anmeldelser af brud på persondatasikkerheden og to som klager. På grund af manglende dokumentation, har tilsynet fundet anledning til – som supplement til det fremsendte materiale – at gennemgå de to klager over Køge Kommune, som Datatilsynet har modtaget, for at vurdere om kommunen burde have anmeldt disse. Efter det i sagerne oplyste er der tale om 2 forhold, hvor kommunen bevidst har offentliggjort oplysningerne, og har ment at have hjemmel hertil. Datatilsynet tilslutter sig, henset hertil, at de to sager ikke er brud på persondatasikkerheden, jf. databeskyttelsesordningens artikel 4, nr. 12, og derfor – korrekt – ikke er anmeldt til tilsynet, jf. databeskyttelsesforordningens artikel 33.

For de otte hændelser, der af Køge Kommune er kategoriseret som brud på persondatasikkerheden, men som ikke er anmeldt til Datatilsynet, kan tilsynet tilslutte sig kommunens vurdering af, at de pågældende hændelser kan karakteriseres som brud på persondatasikkerheden, jf. databeskyttelsesordningens artikel 4, nr. 12, men at disse ikke er omfattet af pligten til at foretage anmeldelse. Datatilsynet har i den forbindelse vurderet, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. artikel 33, stk. 1.

Samlet set finder Datatilsynet, at Køge Kommune generelt har iværksat de foranstaltninger, der er nødvendige for at kunne overholde kravene i databeskyttelsesforordningens artikel 33, stk. 1, men tilsynet finder det dog kritisabelt, at der ikke er sket anmeldelse til tilsynet af den pågældende hændelse registreret den 18. juni 2018.

3. Dokumentation af brud på persondatasikkerheden

Ifølge databeskyttelsesforordningens artikel 33, stk. 5, skal den dataansvarlige dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden (Datatilsynet) i stand til at kontrollere, at bestemmelsen er overholdt.

Det bemærkes, at der stilles ikke specifikke formkrav til dokumentationen, og den dataansvarlige kan derfor selv beslutte, hvordan oplysningerne skal indsamles, og hvordan de skal præsenteres. Dokumentationen skal imidlertid i alle tilfælde indeholde en række informationer, jf. bestemmelsens ordlyd ovenfor. I Datatilsynets vejledning fra februar 2018 om håndtering af brud på persondatasikkerheden er på side 27 anført, at kravene til dokumentation kan opstilles således: 

  • Dato og tidspunkt for bruddet
  • Hvad skete der i forbindelse med bruddet?
  • Hvad er årsagen til bruddet?
  • Hvilke (typer) personoplysninger er omfattet af bruddet?
  • Hvilke konsekvenser har bruddet for de berørte personer?
  • Hvilke afhjælpende foranstaltninger er truffet?
  • Hvorvidt – og i givet fald hvordan – der er sket anmeldelse til Datatilsynet? Hvorfor/Hvorfor ikke?

Den dataansvarlige bør således dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet. Dette gælder ikke mindst, hvis den dataansvarlige, efter at have vurderet bruddet, er nået frem til, at det ikke skal anmeldes til Datatilsynet.

De 21 brud på persondatassikkerheden, som Køge Kommune i forbindelse med tilsynet har fremsendt materiale om, fremgår af en separat lister. Denne liste opregner de 11 brud, der er anmeldt til Datatilsynet, og de 10 brud, hvor der ikke er sket anmeldelse.

Efter at have gennemgået Køge Kommunes egen dokumentation for de 11 brud på persondatasikkerheden, som kommunen har anmeldt til Datatilsynet, kan tilsynet i den forbindelse konstatere, at kommunen har beskrevet de faktiske omstændigheder ved bruddet og angivet en begrundelse for, hvorfor bruddet blev anmeldt til Datatilsynet.

Det er – efter gennemgang af alt det pågældende materiale – Datatilsynets vurdering, at kommunen samlet set har tilvejebragt den påkrævede dokumentation.

På den baggrund, er det Datatilsynets vurdering, at Køge Kommune samlet set har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet har i øvrigt gennemgået Køge Kommunes egen dokumentation for de 8 brud på personsikkerheden, som ikke er anmeldt til Datatilsynet. Tilsynet kan i den forbindelse konstatere, at kommunen har beskrevet de faktiske omstændigheder ved bruddet og angivet en begrundelse for, hvorfor bruddet ikke blev anmeldt til Datatilsynet. Datatilsynet har vurderet, at omfanget af den angivne dokumentation har været tilstrækkelig til, at tilsynet har kunnet konkludere, at det må betegnes som usandsynligt, at de pågældende brud indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. forordningens artikel 33, stk. 1.

4. Uddannelse af medarbejdere

Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau.

Heraf kan bl.a. udledes krav om, at den dataansvarlige skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af brud på persondatasikkerheden, at visse relevante medarbejdere kan identificere og vurdere brud på persondatasikkerheden, herudover er det en nødvendighed for at organisationen som helhed i øvrigt er i stand til at understøtte forpligtelsen til at foretage indberetninger mv. i medfør af databeskyttelsesforordningens artikel 33.

Datatilsynet har noteret sig, at Køge Kommune har udarbejdet pjecer og gennemført en række aktiviteter med henblik på at uddanne medarbejdere i databeskyttelse, herunder med henblik på at medarbejdere vil kunne identificere og eventuelt håndtere brud på persondatasikkerheden.

Uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og uagtet at tilsynet ikke er bekendt med det det fulde indhold af uddannelsesmaterialet, er det tilsynets vurdering, at Køge Kommune har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden.

5. Sammenfatning

Efter tilsynet med Køge Kommune finder Datatilsynet anledning til sammenfattende at konkludere, at der er grundlag for at udtale kritik af, at Køge Kommune i et enkelt tilfælde ikke har levet op til kravet om, at alle behandlinger af personoplysninger er tilrettelagt og udført i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 33.

Efter Datatilsynets opfattelse har Køge Kommune således generelt iværksat de foranstaltninger, der er nødvendige for at kunne overholde kravene i databeskyttelsesforordningens artikel 33, stk. 1, og derved sikre, at brud på persondatasikkerheden opfanges i organisationen og registreres, sådan at disse altid bliver vurderet med henblik på om bruddet skal anmeldes til Datatilsynet.

Endvidere finder Datatilsynet, at Køge Kommune samlet set har levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 5.

Det er herudover Datatilsynets vurdering, at Køge Kommune har gennemført passende uddannelsesaktiviteter bl.a. med henblik på at kunne understøtte identifikation og håndtering af brud på persondatasikkerheden.

6. Afslutning

Datatilsynet bemærker, at tilsynets afgørelse ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30.

Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere. 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)