Journalnummer: 2021-32-2143.
Resume
Datatilsynet vender hermed tilbage til sagen, hvor [X] (herefter klager) den 12. marts 2021 har klaget til Datatilsynet over Familieretshusets behandling af personoplysninger.
Klagen vedrører det forhold, at en medarbejder i Familieretshuset den 8. marts 2021 – ved en fejl – gav klagers søns biologiske far del i forældremyndigheden over klagers søn, hvorved den biologiske far fik mulighed for uretmæssigt at tilgå oplysninger om sønnen.
Datatilsynet fandt, at Familieretshuset ikke havde levet op til kravet om at gennemføre passende sikkerhedsforanstaltninger og udtalte på den baggrund alvorlig kritik af Familieretshuset.
Datatilsynet lagde bl.a. vægt på, at den biologiske far – som følge af flere fejl begået i Familieretshuset – var blevet registreret som indehaver af forældremyndigheden i CPR-registret og derved havde fået adgang til en række oplysninger om sønnen. Han havde bl.a. fået adgang til oplysninger om sønnens adresse, uanset at sønnen havde navne- og adressebeskyttelse.
Datatilsynet noterede sig, at Familieretshuset som følge af hændelsen havde opdateret de retningslinjer, der anvendes ved tildeling af forældremyndighed, og at der var gennemført awareness i de relevante afdelinger i Familieretshuset.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager har fuld forældremyndighed over sin 13-årige søn, og at hun og hendes nuværende mand i marts 2021 ansøgte Familieretshuset om at få delt forældremyndighed over sønnen. Det fremgår også, at Familieretshuset i forbindelse med behandlingen af adoptionssagen ved en manuel fejl tilkendte forældremyndigheden til klagers søns biologiske far i stedet for til klagers nuværende mand.
2.1. Klagers bemærkninger
Klager har overordnet anført, at hun og sønnen – som følge af bl.a. vold og trusler fra sønnens biologiske far – lever et beskyttet liv med bl.a. navne- og adressebeskyttelse.
Herudover har klager anført, at hun den 8. marts 2020, efter Familieretshusets lukketid, modtog en orientering om, at forældremyndigheden over hendes søn var blevet delt med den biologiske far. Klager rettede henvendelse til Familieretshuset dagen efter, hvor hun blev oplyst om, at en sagsbehandler i Familieretshuset fejlagtigt havde tildelt den biologiske far del i forældremyndigheden. Samme morgen orienterede Familieretshuset den biologiske far om, at forældremyndigheden var trukket tilbage, og Familieretshuset fik rettet fejlen i løbet af et par timer.
Klager har videre oplyst, at den biologiske far – i perioden indtil Familieretshuset rettede fejlen – fandt frem til oplysninger om, hvor sønnen går i skole og tilgik sønnens sundhedsjournaler. Den biologiske far bad endvidere om tilmelding til forældreintra på skolen og forsøgte at ændre sønnens adresse. Herudover har den biologiske far efterfølgende forsøgt at få oplysninger om, hvor sønnen befinder sig ved at misbruge det brev, han modtog fra Familieretshuset om, at han havde del i forældremyndigheden.
2.2. Familieretshusets bemærkninger
2.2.1. Familieretshuset har i høringssvar af 11. maj 2021 oplyst, at en medarbejder den 8. marts 2021 fejlagtigt tildelte forældremyndigheden til den biologiske far. Familieretshuset har videre oplyst, at registreringen skete i CPR-registeret og blev videreført i Familieretshusets ESDH-system F2. Fejlen blev berigtiget den 9. marts 2021.
Ifølge Familieretshuset vil deling af forældremyndighed give adgang til oplysninger om barnet i systemerne borger.dk, sundhed.dk, AULA og minlaegeapp, som alle er bygget på baggrund af nem-id validering. Den biologiske far har således haft adgang til personoplysninger om klagers søn i en række af løsningerne i perioden fra den 8. marts til den 9. marts 2021.
Familieretshuset har i den forbindelse oplyst, at der eksempelvis i AULA og forældreintra vil være en yderligere organisatorisk sikkerhedsforanstaltning i form af en manuel 2. validering fra kommunen. Derudover har Familieretshuset oplyst, at NETS og flere offentlige myndigheder har indført en timer i tildelingen af adgange på baggrund af nem-id validering. Henset hertil og til, at hændelsen har stået på i under 24 timer, finder Familieretshuset det i mindre grad sandsynligt, at den biologiske far har opnået adgang til disse systemer.
Familieretshuset finder det i nogen grad sandsynligt, at den biologiske far – på baggrund af tildelingen af forældremyndigheden – kan have søgt om aktindsigt hos diverse offentlige myndigheder efter bestemmelser i forvaltningsloven.
Familieretshuset henviser derudover til § 23 i forældreansvarsloven og bemærker hertil, at den biologiske far i medfør af denne bestemmelse har ret til orientering omkring barnets forhold fra myndigheder og institutioner, selvom han ikke har forældremyndigheden. Familieretshuset gør i den forbindelse gældende, at skadesvirkningen er begrænset til det omfang, at oplysningerne ikke ville blive videregivet efter bestemmelsen.
Familieretshuset finder, at den uretmæssige tildeling af forældremyndigheden til den biologiske far ikke har medført kompromittering af personoplysninger i Familieretshuset. Familieretshuset finder videre, at der ved tildelingen ikke er risiko for at oplysningerne bliver brugt til kriminalitet eller identitetstyveri, idet oplysningerne vedrører en person under 18 år.
2.2.2. Familieretshuset har anført, at der forud for hændelsen var indført en række tekniske og organisatoriske foranstaltninger for at sikre, at tildeling af forældremyndigheden sker til den rette person. Familieretshuset har i den forbindelse oplyst, at tildelingen af forældremyndighed sker på baggrund af forskellige bestemmelser i forældreansvarsloven, og at der – for at understøtte Familieretshuset sagsbehandling – er udarbejdet tre forskellige online-ansøgningsskemaer, der anvendes alt efter hvilke del af lovgivningen, der ansøges efter. Familieretshuset bemærker i den forbindelse, at klager i nærværende sag anvendte en anden blanket end den, der er beregnet til ansøgninger om aftale om fælles forældremyndighed.
Om baggrunden for at Familieretshuset kom til at tildele forældremyndigheden til den biologiske far, har Familieretshuset oplyst, at det vurderes, at fejlregistreringen er udslaget af en række menneskelige fejl i Familieretshuset som følge af anvendelse af den forkerte blanket. Familieretshuset har i den forbindelse oplyst, at Familieretshuset i perioden siden den 25. maj 2018 har behandlet 7.275 sager om tildeling af forældremyndighed, og at der i denne periode gennemsnitligt har været 25 sager om året, hvor borgerne har anvendt en forkert blanket. Familieretshuset har også anført, at der i perioden er foretaget 2 forkerte anmeldelser af forældremyndighed, hvorfor de organisatoriske sikkerhedsforanstaltninger efter Familieretshusets vurdering er effektive i 97,4 % af tilfældene. Familieretshuset bemærker hertil, at dette – i forhold til den samlede mængde – betyder, at Familieretshusets fejlrate er 0,00027 % af tilfældene.
Familieretshuset har som følge af hændelsen opdateret følgende arbejdsbeskrivelser:
”06 Høring kun 1 underskrift.dotx” og ”06b afvisning da kun en underskrift og vejledning om ansøgning.dotx”, som anvendes af sagsbehandlere ved tildeling af forældremyndigheden. Derudover har Familieretshuset gennemført awareness i afdelingerne Journal og Visitation. Endelig vil nye medarbejdere på området gennemgå et centralt onboarding-forløb med det formål at sikre kvaliteten i arbejdet.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger til grund, at Familieretshuset uberettiget har tilkendt klagers søns biologiske far forældremyndighed over klagers søn, hvilket har givet den biologiske far mulighed for uretmæssigt at tilgå oplysninger om sønnen i et døgn.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre tekniske og organisatoriske foranstaltninger, der passer til risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. Herunder skal den dataansvarlige sikre, at ansatte, der behandler personoplysninger, har modtaget tilstrækkelig instruks og fornøden vejledning.
Det er Datatilsynets opfattelse, at en fejlagtig tildeling af forældremyndighed over et barn medfører en høj risiko for det registrerede barns rettigheder. Datatilsynet lægger herved vægt på karakteren af de oplysninger, som en fejlagtig tildeling af forældremyndighed kan give adgang til, og på at børn bør nyde en særlig beskyttelse af deres personoplysninger.
Det er på den baggrund Datatilsynets opfattelse, at der bør udføres passende uddannelse af medarbejderne i sikker behandling af personoplysninger i forbindelse med tildeling af forældremyndighed, og at der bør stilles højere krav til medarbejdernes omhyggelighed ved sikring af, at der ikke sker fejlagtig tildeling af forældremyndighed.
Datatilsynet finder, at Familieretshuset ikke har levet op til kravet om at gennemføre passende sikkerhedsforanstaltninger i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at Familieretshuset ved en fejl tildelte forældremyndigheden til en forkert person, hvilket medførte uretmæssig adgang til oplysninger om bl.a. barnets adresse og skole – uanset at barnet havde navne- og adressebeskyttelse.
Datatilsynet har endvidere lagt vægt på det af Familieretshuset oplyste om, at den uretmæssige tildeling af forældremyndighed skete som følge af, at klager anvendte en forkert blanket til at søge om forældremyndighed samt som følge af fejl begået i Familieretshuset.
Datatilsynet har i den forbindelse også lagt vægt på Familieretshusets oplysninger om hyppigheden af forkert tildeling af forældremyndighed. Datatilsynet forstår Familieretshuset oplysninger således, at der oftere sker forkert tildeling af forældremyndighed i sager, hvor ansøgere anvender en forkert blanket, end i sager, hvor ansøgere anvender den korrekte blanket. Datatilsynet finder, at Familieretshuset i sine sikkerhedsforanstaltninger bør tage højde for, at ansøgere ikke i alle tilfælde anvender den korrekte blanket.
Datatilsynet finder på baggrund af ovenstående, at der er grundlag for at udtale alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet bemærker, at Datatilsynet har noteret sig, at Familieretshuset som følge af hændelsen har opdateret de retningslinjer, der anvendes ved tildeling af forældremyndighed, samt at der bl.a. er gennemført awareness i de relevante afdelinger.
Datatilsynet bemærker afslutningsvis, at Datatilsynet den 4. marts 2021 bl.a. udtalte alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 (Datatilsynets sag med j.nr. 2020-432-0037). Familieretshuset oplyste i sagen, at Familieretshuset havde iværksat en større implementeringsplan, der skitserede en række aktiviteter og fokusområder for de kommende to år. Familieretshuset oplyste også, at der var udpeget en større gruppe decentrale ambassadører, der i løbet af 2021 ville blive uddannet i en lang række centrale databeskyttelsesretlige spørgsmål, og at det også var planen at sætte fokus på bl.a. procedurer og arbejdsgange. Datatilsynet går ud fra, at Familieretshuset vil inddrage nærværende sag i ovennævnte plan for at begrænse lignende hændelser fremover.”
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).