Journalnummer: 2021-442-11601.
Silkeborg Kommune har den 3. februar 2021 anmeldt et brud på persondatasikkerheden. Anmeldelsen har referencenummer:
9e8f54e07f09548bd3da0b89ac216bcb3d34b593.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 5, stk. 2, jf. artikel 5, stk. 1, litra f.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af anmeldelsen, at Silkeborg Kommune den 3. februar 2021 sendte en e-mail til Danmarks Statistik Consulting. E-mailen indeholdt en liste med cpr-nummer, skolenavn og skolekode for 12.915 skoleelever. Det fremgår af anmeldelsen, at e-mailen ikke var sendt sikkert og således ikke krypteret fra afsender til modtager.
3. Anmelders bemærkninger
Silkeborg Kommune har i anmeldelsen af den 3. februar 2021 og det efterfølgende høringssvar af den 5. juli 2021 anført, at kommunen den 3. februar 2021 sendte en e-mail til Danmarks Statistik Consulting. E-mailen indeholdt en liste med cpr-nummer, skolenavn og skolekode for 12.915 skoleelever. E-mailen blev ikke sendt sikkert. Det fremgår videre, at der var tale om en menneskelig fejl, idet en medarbejder – der kendte til retningslinjerne for at sende e-mails sikkert – kom til at sende e-mailen usikkert ved at trykke på den forkerte knap.
Silkeborg Kommune har den 12. august 2021 på Datatilsynets forespørgsel oplyst, at der på tidspunktet for e-mailens afsendelse var implementeret TLS 1.1 kryptering i kommunen, hvorfor den pågældende e-mail muligvis kunne være krypteret på transportlaget med TLS 1.1.
Kommunen kontaktede hurtigt efter afsendelsen modtageren og sikrede sig, at e-mailen var kommet frem til rette modtager.
Silkeborg Kommune har – for at styrke alle medarbejderes viden- og opmærksomhedsniveau på blandt andet anvendelsen af korrekt e-mailforsendelse – udarbejdet et videokursus til alle medarbejdere vedr. GDPR, ligesom den korrekte anvendelse af forsendelsesformer løbende bliver indskærpet i relevante sammenhænge.
Endvidere indfører kommunen fra august 2021 TLS 1.2 kryptering på alle e-mailforsendelser, hvorfor det er kommunens opfattelse, at gentagelsestilfælde ikke vil kunne forekomme, idet e-mails altid vil blive sendt via krypteret forbindelse.
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af Silkeborg Kommunes oplysninger til grund, at kommunen ikke har kunnet dokumentere, at fremsendelsen er sket under anvendelse af kryptering, hverken på transportlaget eller af e-mailens indhold.
Datatilsynet lægger videre til grund, at såfremt den pågældende mail var krypteret, var dette alene på transportlaget og med TLS 1.1.
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Det er Datatilsynets opfattelse, at kryptering på transportlaget med en tilstrækkelig stærk algoritme og nøgle bør normalt betragtes som et minimumsniveau for sikkerheden, når der fremsendes fortrolige og/eller følsomme personoplysninger via e-mail. Herudover er det tilsynets opfattelse, at der vil være typer af behandlinger, hvor kryptering af payload, såkaldt end-to-end kryptering vil være passende, såfremt der konkret er en højere risiko ved behandlingen. Dette kan for eksempel være situationen, hvis en dataansvarlig – som i dette tilfælde – skal sende personoplysninger af fortrolig og/eller følsom karakter om et stort antal registrerede, eller forsendelsen af en flerhed af fortrolige og/eller følsomme oplysninger foregår på fast basis.
Det er derfor Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed når der sendes mange fortrolige og/eller følsomme personoplysninger. Endvidere er det tilsynets opfattelse, at TLS 1.1 – som på tidspunktet var implementeret i Silkeborg Kommune – på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget.
Det fremgår af sagen, at Silkeborg Kommune havde interne retningslinjer, hvoraf det fremgik, at e-mails, der indeholdt borgernes personoplysninger, skulle sendes sikkert og krypteret og at den pågældende medarbejder kendte til disse retningslinjer. Det fremgår videre af sagen, at medarbejderen – trods dette kendskab – sendte e-mailen med en meget stor mængde fortrolige personoplysninger vedrørende børn, uden at sikre sig at e-mailen blev sendt sikkert og krypteret.
Det er Datatilsynets vurdering, at en kommune, der behandler store mængder fortrolige og/eller følsomme personoplysninger om borgerne, skal sikre sig mod at store datasæt sendes på en måde, hvor oplysningerne er læsbare også for en 3. mand, der modtager e-mailen ved en fejl, hvorfor kommunen skal have rutiner, der sikrer, at også indholdet af denne type forsendelser krypteres, og ikke alene krypteres på transportlaget med TLS. Denne forpligtelse gælder særligt, når der behandles store mængder af fortrolige og/eller følsomme personoplysninger og når personoplysningerne vedrører børn, der nyder en særlig beskyttelse i databeskyttelsesforordningen.
Ved ikke at sikre sig, at de pågældende personoplysninger blev sendt med kryptering af indholdet, har Silkeborg Kommune overtrådt databeskyttelsesforordningens artikel 32, stk. 1.
Herudover finder Datatilsynet, at brugen af TLS version 1.1 til kryptering på transportlaget ikke kan anses for at være passende sikkerhed til kryptering på transportlaget.
Silkeborg Kommune har ikke i den konkrete sag kunne redegøre for om e-mailen i det hele taget var krypteret eller ej, hvorfor Datatilsynet finder, at kommunen har overtrådt databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1 litra f.
Datatilsynet indskærper, at det er væsentligt, at den dataansvarliges dokumentation afspejler de risici behandlingen har for de registreredes rettigheder og at der for en konkret behandling er dokumentation for, at den valgte sikkerhed rent faktisk er iagttaget.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Silkeborg Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 5, stk. 2, jf. artikel 5, stk. 1, litra f.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).