Sikkerhedsbrud skulle have være anmeldt til Datatilsynet

Dato: 02-11-2020

Datatilsynet udtaler kritik af, at Randers Kommune ikke har levet op til kravet om passende sikkerhedsforanstaltninger i forbindelse med en utilsigtet videregivelse af oplysninger. Tilsynet udtaler også kritik af, at kommunen ikke anmeldte sikkerhedsbruddet til tilsynet, og at kommunen ikke havde underrettet klageren om bruddet uden unødig forsinkelse.

Journalnummer: 2020-32-1390

Resume

Datatilsynet har på baggrund af en klage udtalt kritik af, at Randers Kommune – ved at sende en påtænkt opsigelse til en forkert medarbejder – ikke har levet op til kravet om passende sikkerhedsforanstaltninger. Den påtænkte opsigelse indeholdt oplysninger om klagerens helbredsmæssige forhold og fagforeningsmæssige tilhørsforhold.

Endvidere har Datatilsynet på baggrund af klagen udtalt kritik af, at Randers Kommune ikke havde anmeldt sikkerhedsbruddet til tilsynet, og at kommunen ikke havde underrettet klager om bruddet uden unødig forsinkelse.

For så vidt angår den manglende anmeldelse af sikkerhedsbruddet fandt Datatilsynet, at der skulle have været sket anmeldelse af bruddet til tilsynet, idet bruddet efter tilsynets opfattelse indebar en risiko for klager.

Datatilsynet lagde i den forbindelse vægt på, at der – henset til dokumentets fortrolige personalemæssige karakter, og at dokumentet indeholdt oplysninger om klagers helbred og fagforeningsmæssige tilhørsforhold –  havde været en særlig risiko for tab af omdømme og fortrolighed for klager i forbindelse med, at den påtænkte opsigelse blev sendt til en anden medarbejder på arbejdspladsen.

Det fremgår i den anledning af afgørelsen, at det er Datatilsynets opfattelse, at det i forhold til vurderingen af, hvorvidt sådanne ’interne’ sikkerhedsbrud skal anmeldes til tilsynet, må tillægges betydning, hvilke oplysninger der er tale om, og hvilken medarbejder som har modtaget oplysningerne. I den konkrete sag, hvor bruddet omfattede oplysninger om en påtænkt opsigelse samt oplysninger om helbred og fagforeningsmæssige tilhørsforhold, er det tilsynets vurdering, at bruddet som udgangspunkt skal anmeldes til tilsynet, medmindre særlige forhold gør sig gældende. Særlige forhold vil bl.a. kunne være, at modtageren af oplysningerne er en særligt betroet medarbejder, som er vant til at håndtere sådanne oplysninger om medarbejdere i kommunen.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager den 24. februar 2020 har klaget til tilsynet over Randers Kommunes behandling af personoplysninger.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Randers Kommune den 15. november 2019 ved en fejl sendte en påtænkt opsigelse af klager indeholdende oplysninger om navn og adresse, fagforeningsmæssigt tilhørsforhold og helbredsoplysninger til en anden af kommunens medarbejdere.

Herudover fremgår det af sagen, at medarbejderen, som fejlagtigt modtog oplysningerne om klager, var klagers kollega på daværende tidspunkt, og at vedkommende ikke sad i en særligt betroet stilling eller i øvrigt var vant til at håndtere personoplysninger om kommunens ansatte.

2.1. Klagers bemærkninger

Klager har overordnet anført, at Randers Kommune har sendt en påtænkt opsigelse af klager til en anden af kommunens medarbejdere, og at klager blev bekendt med dette gennem den pågældende medarbejder.

2.2. Randers Kommunes bemærkninger

Randers Kommune har overordnet anført, at kommunen ved en fejl har videregivet en påtænkt opsigelse af klager til en anden af kommunens medarbejdere. Fejlen skete ved, at en medarbejder kom til at journalisere den påtænkte opsigelse af klager på en anden medarbejders sag, idet medarbejderen havde de to sager åbne samtidig. Som følge heraf sendte medarbejderen ved en fejl den påtænkte opsigelse af klager til den anden medarbejder via e-Boks den 15. november 2019.

Herudover har Randers Kommune anført, at kommunen den 15. november 2019 straks tog kontakt til den anden medarbejder, da kommunen blev bekendt med fejlen. Kommunen gav i den forbindelse den anden medarbejder besked om ikke at tilgå det sendte og at slette det straks.

Randers Kommune har endvidere anført, at alle kommunens medarbejdere er undervist i, hvordan systemerne skal benyttes, herunder hvordan der journaliseres korrekt. Som følge af hændelsen er Randers Kommune i gang med at gennemgå de foreliggende arbejdsskrivelser og procedurer for at sikre, at de organisatoriske sikkerhedsforanstaltninger er tilstrækkelige. Herudover vil Randers Kommune undersøge, om det er muligt at opsætte yderligere tekniske foranstaltninger, der kan mindske denne type menneskelige fejl.  

Adspurgt har Randers Kommune anført, at kommunen ikke har anmeldt bruddet på persondatasikkerheden til Datatilsynet i henhold til forordningens artikel 33. Randers Kommune har i den forbindelse lagt vægt på, at bruddet – efter kommunens opfattelse – må anses som en intern forsendelse, der er sendt til en forkert medarbejder, og at alle kommunens medarbejdere er underlagt tavshedspligt.

Efter anmodning fra Datatilsynet har Randers Kommune oplyst, at medarbejderen, som fejlagtigt modtog oplysningerne om klager, var klagers kollega på tidspunktet, og at medarbejderen ikke sad i en særligt betroet stilling. Den pågældende medarbejder var imidlertid vant til at håndtere persondata i relation til borgere inden for ældreplejen, men ikke i relation til oplysninger om medarbejdere i kommunen.

Herudover har Randers Kommune anført, at kommunen har underrettet klager om hændelsen i forbindelse med, at klager på eget initiativ tog kontakt til kommunen den 17. februar 2020, da hun blev opmærksom på fejlen. Randers Kommune undersøgte herefter sagen nærmere og sendte efterfølgende klager en skriftlig underretning om hændelsen den 21. februar 2020, hvor kommunen beskrev og beklagede hændelsen over for klager, ligesom kommunen oplyste, at den anden medarbejder er blevet bedt om at slette de modtagne oplysninger, og at sagen er meldt til kommunens databeskyttelsesrådgiver.

I den forbindelse har Randers Kommune anført, at kommune ikke har fulgt kommunens interne procedurer for brud på persondatasikkerheden, og at underretningen af klager efter kommunens vurdering ikke er sket uden unødig forsinkelse i henhold til forordningens artikel 34, stk. 1. Det er endvidere kommunens vurdering, at indholdet af underretningen ikke har været i overensstemmelse med kravene i forordningens artikel 34, stk. 2.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger til grund, at der er sket et brud på persondatasikkerheden (uautoriseret videregivelse af eller adgang til personoplysninger), idet Randers Kommune ved en fejl har fremsendt personoplysninger om klager til uvedkommende.

Ud fra det oplyste lægger Datatilsynet endvidere til grund, at Randers Kommune blev bekendt med bruddet på persondatasikkerheden den 15. november 2019, og at Randers Kommune ikke har anmeldt bruddet til tilsynet i medfør af forordningens artikel 33, stk. 1.

3.1.

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. Herunder skal den dataansvarlige sikre, at medarbejdere, der behandler personoplysninger, har modtaget tilstrækkelig instruks og fornøden vejledning.

Det er Datatilsynets opfattelse, at håndtering af særlige kategorier af personoplysninger omfattet af forordningens artikel 9 stiller større krav til medarbejdernes omhyggelighed i forbindelse med fremsendelse af personoplysninger, herunder sikring af at rette oplysninger sendes til rette modtager.

Datatilsynet finder, at Randers Kommune ikke har levet op til kravet om at gennemføre passende sikkerhedsforanstaltninger i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har navnlig lagt vægt på, at Randers Kommune ikke har udført passende kvalitetskontrol af indholdet af det fremsendte dokument samt kontrol af, at dokumentet blev fremsendt til rette modtager, hvilket har medført, at kommunen utilsigtet har sendt oplysninger om klager til en anden medarbejder i kommunen, herunder oplysninger om klagers helbredsmæssige forhold og fagforeningsmæssige tilhørsforhold.

Tilsynet har noteret sig, at Randers Kommune er i gang med at gennemgå de foreliggende arbejdsskrivelser og procedurer for at sikre, at de etablerede organisatoriske sikkerhedsforanstaltninger er tilstrækkelige.

3.2.

Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse, og om muligt inden 72 timer, skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.  En risiko for fysiske personers rettigheder eller frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

I Datatilsynets vejledning om håndtering af brud på persondatasikkerheden er nævnt et eksempel på et brud[2], hvor en HR-medarbejder ved en fejl sender lønsedler og ansættelseskontrakt til en forkert medarbejder i virksomheden, og hvor det aftales, at den pågældende medarbejder sletter de modtagne dokumenter med det samme efter at være blevet opmærksom på fejlen. Det fremgår i den forbindelse af eksemplet, at der i et sådant tilfælde ikke nødvendigvis skal ske anmeldelse af bruddet til Datatilsynet, og at virksomheden kan vurdere, at bruddet ikke indebærer en risiko for den registrerede henset til, at der er tale om et ”internt” brud, og at virksomheden har stor tillid til den pågældende medarbejder.

I nærværende sag finder Datatilsynet, at Randers Kommune ikke har levet op til kravet i databeskyttelsesforordningens artikel 33, stk. 1, om at anmelde brud på persondatasikkerheden til tilsynet.

Det skyldes, at det er Datatilsynets vurdering, at der i den konkrete sag er tale om et anmeldelsespligtigt brud på persondatasikkerheden.

Det er hermed Datatilsynets opfattelse, at bruddet indebar en risiko for klager, hvorfor undtagelsen i artikel 33, stk. 1 – hvorefter anmeldelse af brud kan undlades, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, der kan fritage for anmeldelse – ikke er opfyldt.

Datatilsynet har i den forbindelse lagt vægt på, at der – henset til dokumentets fortrolige personalemæssige karakter, og at dokumentet indeholder oplysninger om klagers helbred og fagforeningsmæssige tilhørsforhold –  har været en særlig risiko for tab af omdømme og fortrolighed for klager i forbindelse med, at opsigelsen blev sendt til en anden medarbejder på arbejdspladsen.

Det er således også Datatilsynets vurdering, at bruddet på persondatasikkerheden i den konkrete sag adskiller sig fra det ovenfor beskrevne eksempel fra tilsynets vejledning om håndtering af brud på persondatasikkerheden, herunder ved at det i sagen omhandlede dokument – en påtænkt opsigelse – efter tilsynets opfattelse har en mere fortrolig personalemæssig karakter end ansættelseskontrakter og lønsedler, som vejledningens eksempel tager udgangspunkt i.

Det er Datatilsynets opfattelse, at det i forhold til vurderingen af risikoen for den registreredes rettigheder, og hvorvidt der skal ske anmeldelse til Datatilsynet i sådanne sager, må tillægges betydning, hvilke oplysninger der er tale om, og hvilken medarbejder som har modtaget oplysningerne. I en sag som nærværende, hvor bruddet omfattede oplysninger om en påtænkt opsigelse samt oplysninger om helbred og fagforeningsmæssige tilhørsforhold, er det Datatilsynets opfattelse, at bruddet som udgangspunkt vil være anmeldelsespligtigt, medmindre særlige forhold gør sig gældende. Særlige forhold vil bl.a. kunne være, at modtageren af oplysningerne er en særligt betroet medarbejder, som er vant til at håndtere sådanne oplysninger om medarbejdere i kommunen.

3.3.

Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden. Af bestemmelsens stk. 2 følger det, at underretningen af de registrerede i et klart og forståeligt sprog skal beskrive karakteren af bruddet og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c, og d.

Datatilsynet finder, at Randers Kommune ikke uden unødig forsinkelse har underrettet klager om bruddet, jf. databeskyttelsesforordningens artikel 34, stk. 1, og at underretningen ikke er sket i overensstemmelse med forordningens artikel 34, stk. 2.

Datatilsynet har i den forbindelse lagt vægt på det af Randers Kommune oplyste om, at kommunen blev bekendt med bruddet den 15. november 2019, og at kommunen først foretog mundtlig underretning af klager den 17. februar 2020 efterfulgt af en skriftlig underretning den 21. februar 2020.

Herudover har Datatilsynet lagt vægt på, at indholdet af underretningen efter Randers Kommunes egen vurdering ikke har været i overensstemmelse med kravene i forordningens artikel 34, stk. 2.

Endelig har Datatilsynet lagt vægt på, at bruddet på persondatasikkerheden omfatter et dokument af fortrolig personalemæssig karakter, som ud over oplysningen om påtænkt opsigelse af klager indeholder særlige kategorier af personoplysninger omfattet af forordningens artikel 9, hvilket indebærer en høj risiko for klagers rettigheder, da eksponering af oplysningerne internt på arbejdspladsen – som nævnt under afsnit 3.2. – kan indebære risiko for tab af omdømme og fortrolighed for klager.

3.4.

Samlet set finder Datatilsynet således, at der er grundlag for at udtale kritik af, at Randers Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Der henvises til side 37 i Datatilsynets vejleding om håndtering af brud på persondatasikkerheden, som kan tilgås på tilsynets hjemmeside.