Datatilsynet udtaler alvorlig kritik af Dansk Selskab for Akutmedicins behandling af personoplysninger

Dato: 13-12-2021

Datatilsynet har truffet afgørelse i en sag, hvor bestyrelsesmedlemmer i Dansk Selskab for Akutmedicin behandlede personoplysninger på private computere og e-mailkonti.

 Journalnummer: 2021-31-4497

Resumé

Datatilsynet traf den 13. december 2021 afgørelse i en sag vedrørende Dansk Selskab for Akutmedicins behandling af personoplysninger på bestyrelsesmedlemmers private computere og e-mailkonti.

Efter at sagen havde været forelagt Datarådet, udtalte Datatilsynet, at Dansk Selskab for Akutmedicin ikke havde truffet passende organisatoriske og tekniske foranstaltninger.

Tilsynet lagde bl.a. vægt på, at det følger af kravet om passende sikkerhed, at foreninger eller organisationer, der lader bestyrelsesmedlemmer behandle personoplysninger, som foreningen eller organisationen er dataansvarlig for, skal gennemføre passende sikkerhedsforanstaltninger i forbindelse hermed.

Der skal således kunne føres kontrol med, at bestyrelsesmedlemmerne overholder de sikkerhedsforanstaltninger, som foreningen eller organisationen som dataansvarlig har besluttet skal implementeres, når de behandler personoplysninger. Herudover skal foreningen eller organisationen også – hvor det er relevant – fastsætte retningslinjer og procedurer for bestyrelsesmedlemmernes anvendelse af udstyret.

Datatilsynet kunne tilslutte sig Dansk Selskab for Akutmedicin egen vurdering af, at selskabet ikke havde haft et tilstrækkeligt sikkerhedsniveau for personoplysninger modtaget ved eksterne henvendelser.

På den baggrund fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at Dansk Selskab for Akutmedicins behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.

1. Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor klager den 13. januar 2021 har klaget til tilsynet over Dansk Selskab for Akutmedicins behandling af personoplysninger.

Datatilsynet har forstået klagers henvendelse som en klage over, at Dansk Selskab for Akutmedicins behandling af oplysninger om klager ikke er sikker, idet behandlingen sker på selskabets bestyrelsesmedlemmers private computere og e-mailkonti.

Efter en gennemgang af sagen finder Datatilsynet – efter at sagen har været forelagt Datarådet – at der er grundlag for at udtale alvorlig kritik af, at Dansk Selskab for Akutmedicins behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Dansk Selskab for Akutmedicin har høringsret ved behandling af jobansøgninger vedrørende stillinger som sagkyndig i Styrelsen for Patientklager.

Det fremgår endvidere, at klager i efteråret 2019 sendte en jobansøgning til Styrelsen for Patientklager. I forbindelse med vurderingen af ansøgningen blev jobansøgningen sendt til Dansk Selskab for Akutmedicin med henblik på en udtalelse.

Klager gjorde efterfølgende indsigelse mod Dansk Selskab for Akutmedicins beslutning om ikke at anbefale klager til ansættelse hos Styrelsen for Patientklager.

Klager blev i den forbindelse oplyst om, at formanden for Dansk Selskab for Akutmedicin ville se på klagers sag, men at den lå på formandens private e-mailkonto, og klager derfor måtte afvente svar fra formanden.

2.1. Klagers bemærkninger

Klager har anført, at han modtog svar på sin indsigelse fra Dansk Selskab for Akutmedicins formands private e-mailadresse. Klager har i den forbindelse tilkendegivet, at han ikke mener, det er forsvarligt, at oplysninger i ansøgningssager i forbindelse med Dansk Selskab for Akutmedicins høringsret i disse sager opbevares og behandles på private computere og e-mailkonti tilhørende selskabets bestyrelsesmedlemmer.

2.2. Dansk Selskab for Akutmedicins bemærkninger

Dansk Selskab for Akutmedicin har overordnet anført, at Styrelsen for Patientklager ved behandling af jobansøgninger vedrørende stillinger som sagkyndig i styrelsen, hvor Dansk Selskab for Akutmedicin har høringsret, plejer at skrive til selskabets officielle e-mailadresse, som er sat op således, at den automatisk sender e-mailen videre til Dansk Selskab for Akutmedicins formands private e-mailkonto. Der er således ikke en selvstændig postkasse knyttet til Dansk Selskab for Akutmedicins officielle e-mailadresse.

For så vidt angår den konkrete sag har Dansk Selskab for Akutmedicin oplyst, at selskabets formand svarede Styrelsen for Patientklager fra sin private e-mailadresse. Dansk Selskab for Akutmedicin har i den forbindelse oplyst, at Dansk Selskab for Akutmedicin ikke har andre mailsystemer at svare fra, og selskabet har heller ikke en særlig computer stående et sted til besvarelse af sådanne henvendelser.

Dansk Selskab for Akutmedicin har endvidere oplyst, at alle bestyrelsesmedlemmer anvender egne private computere og e-mailkonti til bestyrelsesarbejdet, og at det ikke var Dansk Selskab for Akutmedicins opfattelse, at selve ejerskabet af de pågældende computere havde betydning for datasikkerheden.

Herudover har Dansk Selskab for Akutmedicin oplyst, at i forbindelse med behandlingen af klagers oplysninger var selskabets formands private computer og e-mailkonto beskyttet af adgangskode. Dansk Selskab for Akutmedicin har i den forbindelse anført, at formandens e-mailsystem anvender TLS version 1.2. Det var i den forbindelse Dansk Selskab for Akutmedicins vurdering, at de udvekslede oplysninger med Styrelsen for Patientklager ikke var af en sådan karakter, at yderligere kryptering var påkrævet.

Dansk Selskab for Akutmedicin har efterfølgende oplyst, at selskabet i forbindelse med nærværende sag er blevet opmærksom på, at Dansk Selskab for Akutmedicin ikke har haft et tilstrækkeligt sikkerhedsniveau for behandling af personoplysninger modtaget ved eksterne henvendelser. Dansk Selskab for Akutmedicin har oplyst, at selskabet fremover vil sikre, at eksterne henvendelser går direkte til Dansk Selskab for Akutmedicins e-Boks.

3. Begrundelse for Datatilsynets afgørelse

3.1.

Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Datatilsynet finder – efter at sagen har været forelagt Datarådet – at det følger af kravet om passende sikkerhed, jf. artikel 32, at foreninger eller organisationer, der lader bestyrelsesmedlemmer behandle personoplysninger, som foreningen eller organisationen er dataansvarlig for, skal gennemføre passende sikkerhedsforanstaltninger i forbindelse hermed.

Det er Datatilsynets opfattelse, at sikkerhedsforanstaltninger grundlæggende bør indeholde elementer om fysisk sikkerhed, organisatoriske forhold, systemtekniske forhold, samt uddannelse, instruktion og kontrol.

Datatilsynet kan herudover henvise til den vejledning om frivillige foreningers behandling af personoplysninger, som Justitsministeriet i december 2018 har udarbejdet under inddragelse af Datatilsynet, og som er tilgængelig via tilsynets hjemmeside[2]. Justitsministeriet giver i vejledningen svar på en række ofte stillede spørgsmål, som kan hjælpe frivillige foreninger og organisationer med at overholde reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

Foreninger eller organisationer skal efter Datatilsynets opfattelse således instruere bestyrelsesmedlemmerne i og kunne føre kontrol med, at den behandling af personoplysninger, som bestyrelsesmedlemmerne foretager, sker under iagttagelse af de sikkerhedsforanstaltninger, som foreningen eller organisationen som den dataansvarlige har besluttet skal implementeres. Eksempler herpå kunne være adgangskontrol, kryptering af data og andre tekniske sikkerhedsforanstaltninger på det udstyr og e-mailkonti, som foreningens eller organisationens bestyrelsesmedlemmer anvender i deres opgavevaretagelse. Herudover skal foreningen eller organisationen også – hvor det er relevant – fastsætte retningslinjer og procedurer for bestyrelsesmedlemmernes anvendelse af udstyret.

Ovenstående gælder efter Datatilsynets opfattelse principielt også, hvis foreningen eller organisationen – som det er tilfældet i denne sag – tillader, at bestyrelsesmedlemmerne benytter deres eget private udstyr og e-mailkonti til behandling af personoplysningerne. Datatilsynet har dog i den forbindelse forståelse for, at foreningsstrukturen kan gøre en sådan instruktionsbeføjelse og kontrol vanskelig i praksis.

Det vil efter Datatilsynets opfattelse f.eks. være vanskeligt for en dataansvarlig at føre kontrol med den sikkerhed, hvorunder bestyrelsesmedlemmerne behandler personoplysninger på deres private computere, som eksempelvis hvilken adgangskontrol det enkelte bestyrelsesmedlem har på sin private computer, samt hvordan bestyrelsesmedlemmet opbevarer eller transporterer sin private computer, og hvordan sikkerheden på den private computer måtte være konfigureret eller hvor mange potentielt skadelige applikationer, der er installeret.

Henset hertil er det Datatilsynets opfattelse, at i tilfælde som i den foreliggende sag, hvor de behandlinger af personoplysninger, der skal foretages, består af vurdering og kommunikation af fortrolige eller følsomme oplysninger, skal der etableres en løsning, som sikrer, at denne fortrolighed ikke undermineres. Der må således ikke sendes følsomme eller fortrolige personoplysninger ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mail på internettet. I disse situationer skal man anvende en sikker løsning. Dette kunne f.eks. være brug af foreningens e-Boks, fælles foreningsportal med differentieret adgang eller brug af en intern mailklient med den fornødne sikkerhed, f.eks. i form af separate e-mailkonti med individuel adgang for de, der behandler personoplysninger og mulighed for fornøden kryptering på afsendelse og modtagelse af e-mail.

Kontrol kan i den forbindelse eksempelvis bestå af, at den dataansvarlige løbende spørger ind til og sikrer sig, at behandlingen af personoplysninger sker under iagttagelse af de sikkerhedsforanstaltninger, som er fastsat, herunder at den dataansvarlige løbende påminder og sikrer sig, at bestyrelsesmedlemmerne lever op til de fastsatte krav om f.eks. opdatering af anti-virusprogrammer, sletning af data eller lignende.

3.2.

På baggrund af oplysningerne i den foreliggende sag lægger Datatilsynet til grund, at Dansk Selskab for Akutmedicin ikke havde udarbejdet nogen formaliserede procedurer eller retningslinjer for, hvordan behandlingen af personoplysninger på bestyrelsesmedlemmernes private computer og e-mailkonti kunne ske med en passende sikkerhed, herunder f.eks. krav til adgangskontrol, virusscan, sletning af data eller lignende.

Datatilsynet finder på den baggrund, at Dansk Selskab for Akutmedicin ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til de risici, der var ved foreningens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet kan således tilslutte sig Dansk Selskab for Akutmedicin egen vurdering af, at selskabet ikke har haft et tilstrækkeligt sikkerhedsniveau for personoplysninger modtaget ved eksterne henvendelser.

Datatilsynet finder derfor grundlag for at udtale alvorlig kritik af, at Dansk Selskab for Akutmedicin ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har noteret sig, at Dansk Selskab for Akutmedicin fremover vil benytte e-Boks til ekstern kommunikation.

4. Afsluttende bemærkninger

Datatilsynets afgørelser kan ikke påklages til anden administrativ myndighed, jf. databeskyttelseslovens § 30.

Datatilsynets afgørelser kan imidlertid indbringes for domstolene, jf. grundlovens § 63.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   https://www.datatilsynet.dk/Media/A/7/Ofte%20stillede%20sp%C3%B8rgsm%C3%A5l%20-%20Frivillige%20foreningers%20behandling%20af%20personoplysninger.pdf