Journalnummer: 2021-442-12924.
Datatilsynet vender hermed tilbage til sagen, hvor Region Nordjylland den 8. maj 2021 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Ved anmeldelsen er der oplyst et internt referencenummer: 2021-017514. Anmeldelsen har følgende referencenummer:
2ca746503d826e268cbc6d6f23c1543aa7b67c1d.
Resume
Fra maj 2018 til april 2021 har det været muligt - via en it-løsning - at tilgås andres personoplysninger og aflyse bookinger, f.eks. aftaler på et sygehus. Der var tale om en velkendt type sårbarhed, som angår manglende styring af brugerens adgang. Misbrug af løsningen krævede, at brugeren var logget ind med NemID, men fejlen gjorde, at adgangen til bookinger og breve ikke blev begrænset til den aktuelle brugers egne bookinger/breve.
Datatilsynet har udtalt kritik af, at Region Nordjylland ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi regionen ikke havde stillet tilstrækkelige krav om sikkerhed i sine aftaler med firmaet, som udviklede løsningen.
Datatilsynet lagde vægt på, at potentielt en halv million registreredes personoplysninger kunne være tilgået af uvedkommende, at oplysningerne omfattede helbredsoplysninger og andre beskyttelsesværdige oplysninger, at både personoplysningernes fortrolighed og tilgængelighed kunne påvirkes, og at bruddet stod på i ca. tre år.
Endvidere har Datatilsynet lagt vægt på, at bruddet på persondatasikkerheden skyldtes en kendt type sårbarhed, og dermed noget som burde være håndteret allerede ved udvikling og test af it-løsningen.
Datatilsynet har i formidlende retning blandt andet lagt vægt på, at misbrug af sårbarheden skulle ske bag et login med NemID, som – om end det ikke kunne forhindre muligheden for misbrug – dog ville give brugerne indtryk af, at de måske kunne blive afsløret, hvis de udnyttede sårbarheden, og at dette muligvis kunne afholde dem fra at gøre det.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Region Nordjyllands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at Regions Nordjyllands databehandler opdagede en fejl i it-løsningen "MineAftaler", som gjorde det muligt under login med NemID at ændre på et tal i en REST-service URL og derved få adgang til andre borgeres personoplysninger.
Det fremgår af sagen, at bruddet på persondatasikkerheden har eksisteret fra 30. maj 2018 i it-løsningen "SelvBooking" (dvs. fra it-løsningens blev ibrugtaget). It-løsning blev efterfølgende videreudviklet til løsningen "MineAftaler", som blev ibrugtaget den 10. februar 2021. Bruddet bestod i "MineAftaler" frem til, at det blev opdaget den 29. april 2021 af den virksomhed, der er databehandler i forhold til behandlingen af personoplysninger i "MineAftaler", og som også er udvikler og leverandør af "MineAftaler". "MineAftaler" indgår som et modul i bookingsystemet "BookPlan", som Region Nordjylland får leveret af databehandleren.
Region Nordjylland har til sagen oplyst, at efter login med NemID kunne man skifte et tal i en URL og derved med en vis sandsynlighed tilgå andre personers bookinger. Dette er uddybet ad to omgange:
Det er ikke en direkte URL i browseren, som man kan rette. Det er en REST-service, som web-applikationen benytter sig af inde under motorhjelmen. REST-servicens URL er: https:<host>:<port>/selvbooking/rest/breve/<brev-ID>.
Det skal understreges, at der ikke var muligt slå op på en bestemt persons modtagede korrespondance fra Region Nordjylland uden at kende den specifikke bagvedliggende URL-adresse. Hvis der bliver ændret i den bagvedliggende URL adresse ville der i stedet blive vist et vilkårligt brev, hvis ændringen tilfældigvis matchede dette.
...
”URL’en, som brugeren skulle rette i, skulle fremfindes i browserens Developer Console, så man kan se hvilken netværks-trafik, der er fra applikationen til backend’en. Derefter skal man finde det pågældende REST-kald og ændre parametrene (<brev-ID>), og gætte sig til et nyt tilgængeligt <brev-ID> (der er mange huller i sekvensen, så det var ikke alle fortløbende brev-ID’er, der ville kunne findes).”
Det fremgår videre af sagen, at der er tale om en sårbarhed beskrevet på https://owasp.org/www-project-top-ten/, specifikt sårbarheden A5:2017-Broken Access Control. For at rette fejlen implementerede databehandleren korrekt brug af Access Control, hvorefter den autentificerede bruger kun kan lave opslag på data, som tilhører brugeren selv.
Region Nordjylland har oplyst, at der er en begrænset mængde brugere af "MineAftaler", men alle med en NemID, som har været logget på i perioden 30. maj 2018 til 29. april 2021, har haft mulighed for at udnytte sårbarheden. Sårbarheden gav adgang til alle breve udskrevet til patienter før 30. april 2021, hvilket pr. 30. april 2021 omfatter 498.599 patienter. Det omfatter oplysninger om navn, privatadresse, personnummer og helbredsoplysninger. Sidstnævnte er som hovedregel en klinisk afdeling, konsultationsform, herunder formål med konsultation, evt. svarbreve, hvor der står, hvad resultatet af en undersøgelse er – dog ikke hvis der er tale om bekræftende sygdomme af væsentlig karakter.
Regionen har ikke kunne be- eller afkræfte, om der var hemmelige adresser blandt de berørte personoplysninger.
Sårbarheden gjorde det muligt at slette andres breve og bookinger. Dog vurderer Region Nordjylland, at dette ville være opdaget i de fleste tilfælde grundet anden kommunikation mellem patienter og sygehuse.
Undersøgelse af logs har vist, at der ikke er sket misbrug i de sidste 180 dage op til bruddets konstatering. I perioden startende fra juni 2020 kunne der kun undersøges for "massehøstning" af breve, hvilket der ikke var indikationer af. For resten af perioden, hvor bruddet stod på, kunne det ikke nærmere afklares, om der var indikationer på misbrug. Region Nordjylland har forklaret perioden for opbevaring af loggen med en henvisning til sikkerhedsbekendtgørelsen:
RN har i overensstemmelse med den tidligere gældende sikkerhedsbekendtgørelse, som det af Datatilsynet tidligere er oplyst fortsat skal gælde som en vejledning for sikkerhed i det offentliges sikring af behandling af personoplysninger i det offentlige, valgt at fastsætte audit-logperioden til 180 dage.
Som dokumentation for foranstaltninger gennemført inden bruddet blev konstateret, har Region Nordjylland fremsendt en it-kontrakt og databehandleraftale. Regionen har også angivet en GDPR-audit af databehandleren udført i januar 2021 (dvs. umiddelbart forud for ibrugtagningen af MineAftaler) som en foranstaltning.
I forhold til it-kontrakten (Leveringsaftale af 8.4.2013) har Datatilsynet læst dele af denne. Punkt 5 omtaler Factory Accept Test (FAT), User Acceptance Test (UAT), belastningstest og funktionstest (Smoketest) samt Installationsprøve, Overtagelsesprøve (OP) og driftprøve, uden at det præcise indhold i disse ses nærmere beskrevet i it-kontrakten. Punkt 7 beskriver blandt andet, at formålet med OP er at konstatere, om den leverede funktionalitet og dokumentation i den pågældende delleverance opfylder aftalens krav. I forhold til andre "prøver" knyttes disse til nogle "acceptkriterier", som dog ikke er nærmere beskrevet i it-kontrakten.
Den indsendte databehandleraftale er indgået i september 2013 og opdateret 20. januar 2020. Den oprindelige aftale nævner, at den angår levering, drift og vedligeholdelse af it-system til klinisk booking. Den opdaterede databehandleraftale angår behandling af personoplysninger med henblik på opfyldelse af "Leveranceaftale Klinisk Booking", og den nævner blandt andet, at bilag 1 (Databehandlerinstruks) angiver minimumskrav til de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger. Disse krav omfatter bl.a. følgende:
4.2.3 Databehandleren skal dokumentere de identificerede risici og hvordan risikoen er nedbragt til et acceptabelt niveau.
Ovenstående forpligtelse indebærer, at databehandleren skal foretage en risikovurdering, og herefter gennemføre foranstaltninger for at imødegå identificerede risici. Der kan herunder bl.a., alt efter hvad der er relevant, være tale om følgende foranstaltninger:
- Pseudonymisering og kryptering af personoplysninger
- Evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og – tjenester
- Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Som dokumentation for tests, der er relevante for bruddet, og udført inden ibrugtagning af MineAftaler/SelvBooking, har Region Nordjylland fremsendt databehandlerens test-cases i regnearket "Testcases-MineAftaler-Copyright".
Den GDPR-audit, som også er beskrevet som en foranstaltning, blev afsluttet 14. januar 2021, og viste bl.a. at ift. "Behandlingssikkerhed og Privacy-by-Design og Privacy-by-Default" var der vurderet et compliance-niveau på 73%, hvor 100% er det bedste. Vurderingen er i auditten efterfulgt af en anbefaling med følgende formulering: "Den dataansvarlige bør sikre, at databehandlerens compliancescore indenfor temaet hæves, idet compliance-scoren – baseret på databehandlerens svar på de spørgsmål, der indgår i DPA Service – vurderes som middel." Datatilsynet har ikke modtaget information om, hvorvidt anbefalingen er blevet fulgt.
Det fremgår endvidere sagen, at anmeldelsen af bruddet skete ca. 9 dage efter bruddet blev konstateret. Region Nordjylland har begrundet forsinkelsen således:
Sikkerhedshullet blev lukket med det samme fredag den 29. april 2021 om eftermiddagen. Løsningen blev fjernet umiddelbart og først åbnet igen, da hullet var lukket. Den forsinkede anmeldelse skyldes yderligere undersøgelser af det mulige omfang af bruddet hos leverandøren med henblik på for RN at vurdere, om der var kompromitterede data i brudperioden.
RN accepterede, at leverandøren fuldførte en foreløbig undersøgelse af hændelsesforløbet for at vurdere, hvorvidt der var sket et brud, som udgjorde en risiko for de registreredes rettigheder, eller hvorvidt dette kunne udelukkes, hvorefter anmeldelse til datatilsynet ikke var pligtig, jf. databeskyttelsesforordningens artikel 33, stk. 1. Da RN’s viden om bruddet var afhængig af leverandørens udredning, kunne dette ikke anmeldes inden for 72 timer, men var afhængigt af leverandørens foreløbige udredning, som blev givet mundtligt den 8. maj, hvorefter anmeldelse skete, da det ikke med fuldstændig sikkerhed kunne udelukkes, at der ikke var sket et brud på persondatasikkerheden. Den skriftlige foreløbige udredning blev modtaget den 12. maj 2021.
I Region Nordjyllands dokumentation af bruddet, jf. databeskyttelsesforordningens artikel 33, stk. 5, er der angivet som forklaring på, hvorfor der ikke vil ske underretning af de registrerede om bruddet, samt konsekvenserne af bruddet:
Orientering til den registrerede? Nej. Grundet den tekniske udredning er der sandsynligheden vurderet som meget lav og konsekvenserne vurderes ikke at kunne have fysiske eller økonomiske konskvenser for patienterne.
Hvilke konsekvenser har bruddet for de berørte personer? Formentlig ingen, da oplysningerne alene kan tilgås gennem et hackerangreb og der er ingen indikationer herpå. Herudover kan der maksimalt ændres eller slettes breve, hvilket er konstareret ikke er sket i løbet af de sidste 180 dage.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Region Nordjylland oplyste til grund, at det har været muligt at etablere uautoriseret adgang til personoplysninger og til at slette andres breve og bookinger
Datatilsynet lægger på den baggrund til grund, at der har været uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
3.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at 1) der i systemer med et højt antal fortrolige, herunder følsomme, oplysninger om et højt antal personer, skal stilles strengere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, og at 2) alle sandsynlige fejlscenarier bør testes i forbindelse med udviklingen af ny software, som skal anvendes til behandling af personoplysninger.
Datatilsynet finder på ovenstående baggrund, at Region Nordjylland – ved at undlade at stille tilstrækkelige krav til udvikling og test af ny software – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved regionens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at der var indgået aftaler, som angik netop denne it-løsning og behandlingen af personoplysninger heri, men at disse aftaler har manglet fokus på databeskyttelse i udvikling og test af it-løsningen. It-kontrakten – som bl.a. er anført som en del af de foranstaltninger, der er gennemført inden bruddet blev konstateret – stiller ikke tydelige krav om test, som har et sikkerhedsmæssigt fokus. Visse testkriterier er ikke nærmere beskrevet i kontrakten, og test med betegnelser som "User Acceptance Test" er typisk ikke designet til at kunne afsløre fejl af den type, som er opstået her, og som kan misbruges. Datatilsynet finder, at særligt it-kontrakten, som er meget specifik omkring udvikling og test af it-løsningen, burde have indeholdt tydelige krav med fokus på sikkerhed i udvikling og test.
I tilknytning til ovennævnte fremstår de test – som Region Nordjylland har fremsendt som dokumentation for test, der er relevante for bruddet, og som er udført inden ibrugtagning af SelvBooking/MineAftaler – som funktionstest/brugertest. De fremstår dermed som test med primært fokus på tiltænkt funktionalitet og således ikke sårbarhedstest, penetreringstest og lignende test med fokus på sikkerhed – dvs. test som primært har fokus på ikke tiltænkt funktionalitet, der evt. kan misbruges.
Efter en gennemgang af sagen finder Datatilsynet hermed, at der er grundlag for at udtale kritik af, at Region Nordjyllands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion i skærpende retning lagt vægt på, at potentielt en halv million registreredes personoplysninger kunne være tilgået af uvedkommende, at oplysningerne omfattede helbredsoplysninger og andre beskyttelsesværdige oplysninger, at både personoplysningernes fortrolighed og tilgængelighed kunne påvirkes, og at bruddet stod på i ca. 3 år. Endvidere har Datatilsynet lagt vægt på, at bruddet på persondatasikkerheden skyldtes en kendt type sårbarhed, og dermed noget som burde være håndteret allerede ved udvikling og test af it-løsningen.
At der skulle angives et <brev-ID>, og at der var "mange huller i sekvensen, så det var ikke alle fortløbende brev-ID’er, der ville kunne findes", ses ikke umiddelbart at ændre noget i forhold til alvoren af bruddet, givet at den dataansvarlige ikke har oplyst om nogen begrænsninger i muligheden for at prøve sig frem til alle mulige værdier af <brev-ID>.
At der skulle ændres i en URL, som kunne findes via i browserens Developer Console, betyder umiddelbart, at det kræver mere teknisk viden at udnytte sårbarheden, end hvis der blot skulle ændres i URL'en i browserens adressefelt. Datatilsynet vurderer dog, at dette ikke gør den store forskel ift., hvilke risici bruddet har udgjort. Ondsindede personer, der har til hensigt og vilje til at misbruge en web-applikation, vil normalt også have en forståelse for, hvordan web-applikationer udvikles/fungerer, og dermed hvordan denne type sårbarhed kan udnyttes.
Datatilsynet har ved valg af reaktion i formidlende retning lagt vægt på, at misbrug af sårbarheden skulle ske bag et login med NemID, som – om end det ikke kunne forhindre muligheden for misbrug – dog ville give brugerne indtryk af, at de måske kunne blive afsløret, hvis de udnyttede sårbarheden, og at dette muligvis kunne afholde dem fra at gøre det. Datatilsynet har herudover lagt vægt på, at Region Nordjylland forud for ibrugtagningen af MineAftaler fik lavet en GDPR-audit, om end denne beskrev niveauet for behandlingssikkerhed, privacy by design/default som "middel".
Datatilsynet finder at foranstaltningen "GDPR-audit" har mindre værdi, givet middel-niveauet, og det forhold at auditten blev udført umiddelbart inden "MineAftaler" blev taget i brug, og dermed lang tid efter den oprindelige fejlebehæftede løsning "SelvBooking" blev udviklet.
3.2. Databeskyttelsesforordningens artikel 33
Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse, og om muligt inden 72 timer, skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Regions Nordjyllands begrundelse for ikke at anmelde bruddet tidligere var, at databehandleren blev givet tid til at vurdere, om der var kompromitterede data i perioden, hvor bruddet stod på (30. maj 2018 til 29. april 2021).
Datatilsynet lægger – i overensstemmelse med det af Regionen anførte – til grund, at løsningen blev nedtaget den 29. april 2021, og det i den anledning er anført, at "hullet" er lukket. Samlet set er det derfor Datatilsynets vurdering, at både databehandleren og den dataansvarlige – senest på dette tidspunkt – var klar over, at der havde været mulighed for uautoriseret adgang til personoplysninger grundet en sårbarhed i "MineAftaler".
Datatilsynet lægger herudover til grund, at den dataansvarlige afventede resultatet af en undersøgelse af, om denne sårbarhed havde været anvendt af nogen til at opnå uautoriseret adgang.
Det er Datatilsynets opfattelse, at det i sager, hvor der har været en uautoriseret adgang til personoplysninger, og det ikke inden 72 timer fra konstateringen heraf kan godtgøres objektivt, at en sådan adgang ikke er udnyttet, og det jf. artikel 33 derfor ikke kan fastslås, "... at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko...", skal ske anmeldelse til tilsynsmyndigheden.
En afslutning af undersøgelsen omkring en hændelse, der definitorisk er omfattet af artikel 4, nr. 12, kan dermed ikke retfærdiggøre en overskridelse af de 72 timer.
Datatilsynet finder dermed, at anmeldelsen skulle være sket tidligere end den 8. maj 2021, men tilsynet har også noteret sig, at forsinkelsen var begrænset
3.3. Databeskyttelsesforordningens artikel 34
Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
Region Nordjylland har i deres interne registrering af brud, jf. databeskyttelsesforordningens artikel 33, stk. 5, begrundet fravalg af underretning med en lav sandsynlighed, dog uden at det kan læses, hvad denne sandsynlighed angår ("Grundet den tekniske udredning er der sandsynligheden vurderet som meget lav..."). Vurderingen af konsekvenser ved bruddet er "formentlig ingen", men formuleringen er uklar ("konsekvenserne vurderes ikke at kunne have fysiske eller økonomiske konskvenser for patienterne") – dog synes det at være begrundet i, at tilgang til oplysningerne ville kræve et "hackerangreb og der er ingen indikationer herpå".
Såfremt man i en konkret situation ikke har tilstrækkelige logdata til at bekræfte eller afvise, at der er sket misbrug af en adgang, skal dette indgå i vurderingen af risici for de registreredes rettigheder, og dermed i vurderingen af, om de registrerede skal underrettes om bruddet.
Datatilsynet skal hertil bemærke, at artikel 33, stk. 5 stiller krav til dokumentation af alle brud på persondatasikkerheden, og dette stiller krav til kvaliteten af den interne registrering. Region Nordjyllands aktuelle registrering giver ikke et klart indtryk af overvejelserne bag at undlade underretning af de berørte registrerede.
Datatilsynet lægger til grund, at vurderingen af sandsynligheder og konsekvenser (og dermed risikoen for de berørte registrerede) er baseret på de logdata, der kun dækker en del af perioden for bruddet, hvilket efter tilsynets mening ikke er tilstrækkeligt til at vurdere risikoen som værende lav. Når der mangler dokumentation for, om en sårbarhed er misbrugt, indebærer det et stort spænd i de mulige konsekvenser fra "ingen konsekvens" til den værst tænkelige set i forhold til især mængden af personoplysninger, hvad oplysningerne kan misbruges til, og hvad sletning af et brev eller en booking kunne indebære (hvis ikke det opdages grundet anden kommunikation mellem borger og region).
På baggrund af de samlede oplysninger som Datatilsynet har modtaget angående bruddets karakter, finder Datatilsynet imidlertid ikke på det foreliggende grundlag anledning til at tilsidesætte regionens valg om at undlade underretning.
Datatilsynet anbefaler dog Region Nordjylland at forbedre kvaliteten af den interne registrering – og evt. vurderingen – af brud på persondatasikkerheden.
Datatilsynet skal i forhold til Region Nordjyllands audit-log bemærke, at regionen ved fastsættelse af en passende logningsperiode og indhold af loggen skal tage højde for, hvad der er formålet med loggen, og hvordan den anvendes. Hvis en dataansvarlig fx beslutter sig for at lave stikprøver i en log, så skal loggen gemmes i den periode, som man ønsker, at stikprøverne kan dække (fx de sidste 3 måneder tilbage i tid). Hvis en log forventes at kunne vise misbrug af brugeradgange – adgange som ved en fejl ikke er blevet nedlagt ved fratrædelse – så skal loggen dække den maksimale periode, som kan forløbe inden sådanne manglende nedlæggelser opdages og korrigeres, således at loggen kan vise al potentiel misbrug i perioden, hvor adgangen skulle have været nedlagt. Et andet formål kan være undersøgelser af hackerangreb, hvor man som dataansvarlig vælger at følge Center for Cybersikkerheds anbefalinger om opbevaringsperioder for logs.
3.4. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Region Nordjyllands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1.
4. Afsluttende bemærkninger
Datatilsynet bemærker, at Datatilsynets afgørelse ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30.
Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.
Datatilsynet skal for god ordens skyld bemærke, at tilsynet forventer at offentliggøre en nyhed om afgørelsen samt en kopi af denne på tilsynets hjemmeside om én uge.
Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).