Brud på persondatasikkerheden hos Region Syddanmark

Dato: 17-07-2020

Datatilsynet udtaler alvorlig kritik af, at Region Syddanmark ikke havde foretaget fornøden risikovurdering og test under udviklingen af et it-system, hvilket medførte uautoriseret adgang til gravide kvinders navne og personnumre.

Journalnummer: 2018-442-0026

Resume

Datatilsynet har truffet afgørelse i en sag, hvor Region Syddanmark har anmeldt et brud på persondatasikkerheden. Datatilsynet har i afgørelsen fundet grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med de databeskyttelsesretlige regler.

Afgørelsen er truffet på baggrund af manglende risikovurdering af en behandling, manglende foranstaltninger omkring udvikling og test, manglende rettidig dokumentering af omstændighederne ved bruddet, og mangler ved den gennemførte underretning af de registrerede. Bruddet angik uautoriseret adgang til 365 personers navn, personnummer og oplysning om graviditet.

Afgørelsen belyser, hvordan en manglende risikovurdering og manglende fokus på kendte it-sikkerhedsmæssige problematikker ved udvikling og test af it-løsninger kan lede til brud på persondatasikkerheden, som kunne være undgået.

Afgørelsen belyser også, hvordan manglende afdækning og dokumentering af et sikkerhedsbrud kan påvirke den dataansvarliges mulighed for at efterleve reglerne i databeskyttelsesforordningen, i dette tilfælde blandt andet indholdet i underretningen af de berørte borgere.

Når en dataansvarlig benytter en databehandler som system- og driftsleverandør, vil omstændighederne ved et brud ofte være bedre kendt af it-leverandøren end af den dataansvarlige. Men fordi den dataansvarlige skal dokumentere bruddet, undgå lignende brud i fremtiden og evt. underrette de berørte borgere, er det væsentligt for overholdelsen af databeskyttelsesforordningen at den dataansvarlige har mekanismer, der sikrer, at en tilsvarende viden om hændelsen og forståelse for omstændighederne ved bruddet, er erkendt og dokumenteret hos den dataansvarlige.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Region Syddanmark den 25. maj 2018 har anmeldt et brud på persondatasikkerheden. Ved en spørgeskemaundersøgelse blev lister over gravides navn og personnummer gjort tilgængelige for uvedkommende. Anmeldelsen har følgende referencenummer:

273eb5e9fcb5e01a3fe2ba1c39c334d03b50b8b6

Datatilsynet skal indledningsvist oplyse, at dele af det anmeldte brud på persondatasikkerheden fandt sted før den 25. maj 2018. Datatilsynet skal i den forbindelse bemærke, at persondataloven blev ophævet den 25. maj 2018 og erstattet af databeskyttelsesforordningen[1] og databeskyttelsesloven[2]. Denne afgørelse er derfor truffet efter reglerne i databeskyttelsesforordningen. Datatilsynet har dog ved fastsættelsen af nedennævnte sanktion skelet til, hvilke regler der gjaldt på tidspunktet for den pågældende behandling af personoplysninger og til, hvad sanktionen ville have været efter disse regler.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 5 og artikel 34, stk. 2.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Region Syddanmark har den 25. maj 2018 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Det fremgår af sagen, at ca. 2000 personer (gravide kvinder) blev anmodet om at udfylde et spørgeskema. Personerne havde mulighed for at se en liste med navn og personnummer på andre personer, som også var blevet anmodet om at udfylde samme spørgeskema. På baggrund af spørgeskemaets indhold og konteksten kunne det udledes, at personerne på listen var gravide. Listen var ved en fejl blevet placeret på den server, som de pågældende personer havde adgang til. Adgangen til listen forudsatte dog, at personerne endnu ikke havde udfyldt spørgeskemaet, og at personerne alene anvendte en del af den modtagne URL til spørgeskemaet.

Samlet set blev 365 kvinders personoplysninger på denne måde vist for uvedkommende personer. Logfiler indikerede, at seks personer ud af de potentielt ca. 2000 personer fik en liste med navne og personnumre at se. Afhængig af tidspunktet for visningen indeholdt den viste liste mellem 19 og 200 personer.

Region Syddanmark har til sagen oplyst, at der på tidspunktet for konstateringen af bruddet på persondatasikkerheden ikke forelå en risikovurdering i henhold til databeskyttelsesforordningens artikel 32, som dækkede behandlingerne i det system, hvori bruddet på persondatasikkerheden skete.

Region Syddanmark har videre oplyst, at fejl ved tildeling af brugeradgange har været en medvirkende årsag til bruddet på persondatasikkerheden.

Region Syddanmark har i forbindelse med sagens oplysning afgivet skiftende forklaringer angående de faktiske omstændigheder ved bruddet på persondatasikkerheden, herunder karakteren af bruddet i form af oplysninger om, hvilke handlinger brugeren af spørgeskemaet skulle udføre for at opnå uautoriseret adgang til listen med navne og personnumre. Region Syddanmark var i den forbindelse nødsaget til at indhente nye oplysninger fra en ekstern leverandør for at kunne besvare Datatilsynets spørgsmål om, hvordan den uautoriserede adgang til personoplysninger kunne opnås.

Region Syddanmark har foretaget underretning, jf. databeskyttelsesforordningens artikel 34, stk. 1, af de registrerede om bruddet. Af underretningen fremgik det blandt andet, at:

”Vi skriver til dig, da vi er blevet bekendt med, at dit navn og CPR-nummer ved meget beklagelig fejl har kunnet tilgås af andre, der ligesom dig har modtaget et oplysningsskema fra Gynækologisk Obstetrisk Afdeling D.

[...]

Desværre har dele af denne liste ved en menneskelig fejl været tilgængelig for andre modtagere, hvis de klikkede sig rundt i oplysningsskemaet på en helt bestemt, uheldig måde.

[...]

Der har ikke været andre oplysninger tilgængelige end dit navn og CPR-nummer, samt oplysningen om, at du har modtaget post i din e-boks fra OUH.”

Denne beskrivelse stemte imidlertid ikke overens med regionens oplysninger til Datatilsynet under behandling af nærværende sag, hvor Region Syddanmark bl.a. har oplyst, at der – foruden oplysninger om navn og personnummer – var adgang til oplysninger om graviditet.

3. Begrundelse for Datatilsynets afgørelse

3.1 Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Datatilsynet lægger på baggrund af det af Region Syddanmark oplyste til grund, at personoplysninger, herunder særligt beskyttelsesværdige personoplysninger i form af oplysninger om graviditet og personnummer, er blevet videregivet til uvedkommende.

Datatilsynet lægger på den baggrund til grund, at der er sket en uautoriseret videregivelse af personoplysninger til uvedkommende, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Datatilsynet finder på den baggrund, at Region Syddanmark – ved ikke at have gennemført en risikovurdering i forbindelse med den pågældende behandling af personoplysninger, og ved at have undladt at udvikle og teste behørigt med fokus på behandlingssikkerhed – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Det er Datatilsynets opfattelse, at man som dataansvarlig skal sikre, at oplysninger om registrerede, herunder særligt personoplysninger af beskyttelsesværdig karakter, ikke kommer til uvedkommendes kendskab. Det er videre tilsynets opfattelse, at den dataansvarlige og/eller databehandleren – alt efter omstændighederne – skal sikre systemudvikling med fokus på it-sikkerhed og passende test af beskyttelse af personoplysninger, ved IT-projekter der involverer behandling af personoplysninger.

3.2 Databeskyttelsesforordningens artikel 33

Det følger af forordningens artikel 33, stk. 5, at den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Det er Datatilsynets vurdering, at Region Syddanmark ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 5.

Datatilsynet finder, at Region Syddanmark ikke i tilstrækkeligt omfang har kunnet redegøre for de faktiske omstændigheder ved bruddet på persondatasikkerheden og dets virkninger. Datatilsynet har i den forbindelse lagt vægt på, at Region Syddanmark har fremsendt skiftende forklaringer angående årsagen til bruddet på persondatasikkerheden, og hvad det krævede at opnå uautoriseret adgang til personoplysningerne.

Det er på den baggrund tilsynets opfattelse, at Region Syddanmark ikke rettidigt har iagttaget kravet i artikel 33, stk. 5, og at den endelige afdækning af de faktiske omstændigheder ved bruddet først skete i forbindelse med Datatilsynets sagsbehandling.

3.3 Databeskyttelsesforordningens artikel 34

Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Af stk. 2, følger det blandt andet, at underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden.

Det er Datatilsynets opfattelse, at brud på persondatasikkerheden vedrørende beskyttelsesværdige oplysninger, herunder oplysninger om personnummer og graviditet, som udgangspunkt indebærer en høj risiko for de berørte borgeres rettigheder, da eksponering af sådanne oplysninger kan indebære alvorlige krænkelser for borgerne, eksempelvis ved krænkelse af borgerens integritet.

Datatilsynet finder, at Region Syddanmarks behandling af personoplysninger – ved ikke at underrette de registrerede i tilstrækkelig grad om karakteren af bruddet på persondatasikkerheden – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 2.

Datatilsynet har i den forbindelse lagt vægt på, at det i underretningen til de registrerede blev oplyst, at der ikke havde været eksponeret andre oplysninger end navn og personnummer til trods for, at oplysninger om graviditet også kunne udledes af de eksponerede oplysninger og konteksten, hvori oplysningerne indgik. Datatilsynet har videre lagt vægt på, at underretningens beskrivelse af omstændighederne – særligt hvorledes en uvedkommende person kunne få adgang til personoplysninger – ikke stemte overens med den beskrivelse, som i sidste ende blev givet til Datatilsynet.

Datatilsynet skal i tilknytning hertil bemærke, at sådanne underretninger skal give de registrerede mulighed for at træffe de fornødne forholdsregler med henblik på at beskytte sig selv.

3.4 Sammenfatning

På ovenstående baggrund finder Datatilsynet samlet set, at der er grundlag for at udtale alvorlig kritik af, at Region Syddanmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 5 og artikel 34, stk. 2.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Se f.eks. https://owasp.org/www-project-top-ten/  og  https://owasp.org/www-community/attacks/Path_Traversal