Datatilsynet udtaler alvorlig kritik af Finanstilsynets behandling af personoplysninger

Dato: 21-04-2022
Afgørelse Offentlige myndigheder Alvorlig kritik Anmeldt brud på persondatasikkerheden Utilsigtet videregivelse Behandlingssikkerhed

Datatilsynet udtaler alvorlig kritik af Finanstilsynet for ikke at have levet op til kravet om passende sikkerhed, da Finanstilsynet utilsigtet udleverede oplysninger om whistleblowere til en journalist.

Journalnummer: 2020-442-8099

Resume

Datatilsynet har truffet afgørelse i en sag, hvor Finanstilsynet utilsigtet videregav oplysninger om whistleblowere til en journalist i forbindelse med en anmodning om aktindsigt.  

Den utilsigtede videregivelse skete, fordi Finanstilsynet ikke på en tilstrækkelig sikker måde havde fjernet personoplysninger fra det materiale, der var givet indsigt i. Finanstilsynet havde således overstreget personoplysninger i de udleverede pdf-dokumenter for at undtage disse fra materialet, men oplysningerne kunne aflæses ved at ”holde musemarkøren” på overstregede passager.

Af sagen fremgår det, at Finanstilsynet ikke var opmærksom på, at det er nødvendigt at slette de skjulte oplysninger, som befinder sig bag det viste dokument (metadata mv.), for at sikre, at de ikke længere vil kunne findes.

Manglende tekniske og organisatoriske foranstaltninger

Ved vurderingen af sagen lagde Datatilsynet bl.a. vægt på, at kravet om passende sikkerhed indebærer, at den dataansvarlige skal etablere foranstaltninger, der sikrer, at materiale, der videregives, ikke indeholder personoplysninger, som skulle have været anonymiseret.

Datatilsynet har herudover særligt lagt vægt på, at risikoen for den registreredes rettigheder generelt må anses for højere, når oplysningerne stammer fra en whistleblower-ordning, ligesom Datatilsynet konstaterede, at det er en alment kendt del af funktionaliteten i programmer, der teknisk bliver brugt til overstregning, at metadataoplysninger eller underliggende lag af oplysninger kan findes efter overstregning.

Datatilsynet udtalte på den baggrund alvorlig kritik af Finanstilsynets behandling af personoplysninger, da disse ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Finanstilsynets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Finanstilsynet modtog en anmodning om aktindsigt fra en journalist vedrørende indsigt i de henvendelser, som Finanstilsynet havde modtaget via Finanstilsynets whistleblower-postkasse, som vedrørte god skik for finansielle virksomheder i 2019 og 2020.

Hertil har Finanstilsynet oplyst, at aktindsigten blev meddelt i medfør af offentlighedsloven, og at oplysninger, der kunne identificere de pågældende personer, der havde kontaktet Finanstilsynets whistleblower-postkasse, blev undtaget dokumenterne. Aktindsigten blev meddelt den 31. maj 2020.

Lørdag den 6. juni 2020 blev Finanstilsynet kontaktet via e-mail af en af de personer, som havde indberettet en henvendelse til Finanstilsynet. Personen oplyste, at vedkommende var blevet kontaktet vedrørende henvendelsen til Finanstilsynet via e-mail af den journalist, der havde søgt aktindsigt. Finanstilsynet blev opmærksom på bruddet, da mailen blev læst mandag den 8. juni 2020.

Herefter kontaktede Finanstilsynet journalisten, der oplyste, at han kunne fremfinde oplysningen om mailadressen ved at holde markøren (cursoren) over steder i pdf-dokumentet, som umiddelbart var anonymiseret ved sort overstregning. De steder under anonymiseringen, hvor der var et underliggende link eller mailadresse, kunne journalisten således se ved at holde markøren (cursoren) over den sorte overstregning. På den måde havde journalisten fået oplysning om mailadressen.

Det udleverede materiale er blevet gennemgået af Finanstilsynet, som har kunne konstatere, at der kan fremfindes mailadresser på syv personer, der har sendt henvendelser til Finanstilsynets whistleblower-postkasse.

Finanstilsynets arbejdsbeskrivelse for behandling af aktindsigtssager, der var gældende på tidspunktet for bruddet på persondatasikkerheden, indeholdt et afsnit om ekstrahering af oplysninger. Af afsnittet fremgik blandt andet følgende:

Ekstraheringen af oplysninger vil i praksis ske ved, at man som sagsbehandler overstreger alt det, som ikke er omfattet af ekstraheringspligten”.

Hertil har Finanstilsynet oplyst, at arbejdsbeskrivelsen skal ses i sammenhæng med almindelig sidemandsoplæring, når nye ansatte behandler aktindsigtsanmodninger i Finanstilsynet. Den mest udbredte metode for anonymisering i Finanstilsynet har i praksis været at strege over med tusch, hvorefter dokumentet blev indscannet. En alternativ mulighed har været at erstatte oplysningerne, der skulle anonymiseres, med X’ere.

Finanstilsynet har anført, at det var Finanstilsynets opfattelse inden databruddet af 31. maj 2020, at arbejdsbeskrivelsen for behandling af aktindsigtssager var fyldestgørende. Finanstilsynet har i den forbindelse oplyst, at Finanstilsynet ikke tidligere har haft hændelser, hvor mangelfuld anonymisering har ført til et brud på persondatasikkerheden. Finanstilsynet har siden bruddet opdateret arbejdsbeskrivelsen for håndtering af aktindsigtsanmodninger.

Finanstilsynet har desuden anført, at det materiale, der er meddelt aktindsigt i, burde have været indscannet som en pdf-fil efter anonymisering forud for fremsendelse. Herved ville det ikke have været muligt at blive bekendt med de personoplysninger, der umiddelbart fremstod anonymiserede. Fejlen, der førte til, at journalisten havde adgang til de undtagne oplysninger, skyldtes, at Finanstilsynet ikke var bekendt med, at det er muligt at fremfinde oplysninger om eksempelvis mail-adresser og andre underliggende links ved at holde markøren (cursoren) over steder i et pdf-dokument, som umiddelbart er anonymiseret ved sort overstregning. Finanstilsynet var således ikke opmærksom på, at det er nødvendigt at slette de skjulte oplysninger, som befinder sig bag det viste dokument (metadata mv.), for at sikre, at de ikke længere vil kunne fremfindes.

3. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed indebærer, at den dataansvarlige myndighed eller virksomhed skal etablere passende foranstaltninger, der sikrer, at materiale, der videregives, ikke indeholder personoplysninger, som skulle have været anonymiseret. Det er i den relation væsentligt, at den ekstraheringsmetode, der vælges ikke let kan omgås, eller maskeringer fjernes med standardiserede værktøjer. Det er derfor Datatilsynets opfattelse, at en teknisk løsning, ikke må efterlade spor af de fjernede personoplysninger, heller ikke i metadata. En dataansvarlig skal derfor fuldt ud kende til funktionaliteten i programmet, der bruges, og give en fornøden instruks til medarbejderne, der sikrer at de ”lag” i dokumentet, der indeholder personoplysninger – som skal undtages – effektivt bliver fjernet.

Yderligere foranstaltninger, der – alt efter omstændighederne – kan udgøre en passende foranstaltninger kan f.eks. være krav om en manuel fysisk sletning baseret på forudgående gennemgang af materialet på baggrund af klare instrukser fra den dataansvarlige evt. kombineret med et scanningsværktøj.

Datatilsynet lægger til grund, at der i det materiale, der var givet indsigt i, var foretaget overstregning af personoplysninger for at undtage disse, men at oplysningerne kunne aflæses ved at ”holde musemarkøren” på overstregede passager. Datatilsynet lægger herudover – efter det af Finanstilsynet selv forklarede – til grund, at Finanstilsynet ikke var bekendt med, at det var muligt, at se oplysningerne på den måde.

Det er Datatilsynets opfattelse, at Finanstilsynet ikke forud for bruddet havde gennemført passende tekniske og organisatoriske foranstaltninger, idet Finanstilsynet ikke havde tilstrækkelige procedurer for anonymisering af oplysninger i forbindelse med aktindsigtsanmodninger.

Datatilsynet har lagt vægt på, at Finanstilsynet ikke havde en fornøden klar og præcis instruks for anonymisering af personoplysninger ifm. aktindsigtsanmodninger m.v., og at Finanstilsynet ikke havde den fornødne forståelse for hvilke metoder, der skal implementeres for at slette – også – de skjulte oplysninger, som befinder sig bag overstregningen i det viste dokument (metadata mv.), for at sikre, at personoplysningerne ikke længere vil kunne fremfindes.

Det er Datatilsynets vurdering, at en arbejdsbeskrivelse, der alene fastsætter, at sagsbehandlere skal overstrege alt det, som ikke er omfattet af ekstraheringspligten, ikke er præcis nok til at give en tilstrækkelig sikkerhed for korrekt anonymisering. Særligt ikke i forhold til den – i denne sag – valgte tekniske løsning. Det forhold, at medarbejdere herudover blev oplært i en sikker arbejdsgang ved sidemandsoplæring, ændrer ikke på behovet for klar og præcis instruks i korrekt anonymisering.  Datatilsynet har særligt lagt vægt på, at risikoen for den registreredes rettigheder generelt må anses for højere, når oplysningerne er indkommet via en whistleblower-ordning. Datatilsynet konstaterer, at det er en alment kendt del af funktionaliteten i programmer, der teknisk bliver brugt til overstregning, at metadataoplysninger eller underliggende lag af oplysninger, kan fremfindes efter overstregning. Henset hertil og idet Finanstilsynet ikke var bekendt med, at det er nødvendigt at slette de skjulte oplysninger, som befinder sig bag det viste dokument (metadata mv.), for at sikre, at de ikke længere vil kunne fremfindes, kan sidemandsoplæring heller ikke sikre tilstrækkelig sikkerhed.

Datatilsynet finder på denne baggrund, at Finanstilsynet ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Finanstilsynets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Finanstilsynets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Ved valg af sanktion har Datatilsynet lagt vægt på, at der var tale om oplysninger, der hidrørte fra en whistleblower-ordning, hvor udlevering af oplysninger kræver en særlig opmærksomhed fra den dataansvarlige. Datatilsynet har i formidlende retning særligt lagt vægt på den lange sagsbehandlingstid hos tilsynet.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).