Journalnummer: 2021-442-12425
Resumé
Datatilsynet har udtalt kritik i en sag, hvor Digitaliseringsstyrelsen havde anmeldt et brud på persondatasikkerheden til tilsynet.
Digitaliseringsstyrelsen gav ved en fejl 26 kuratorer adgang til de forkerte virksomheders digitale postkasser. Fejlen skyldtes formentlig, at linjerne med cvr-numre var blevet forskudt på den liste, styrelsen havde sendt til deres leverandør e-Boks.
Under sagens behandling gjorde Digitaliseringsstyrelsen gældende, at styrelsen ikke tidligere havde oplevet, at der var sket fejl i udarbejdelsen af den pågældende liste. Efter hændelsen indførte styrelsen en procedure, hvor en ekstra medarbejder gennemgår listerne for fejl, inden de sendes til leverandøren, for at minimere risikoen for fejl.
Datatilsynet fandt, at Digitaliseringsstyrelsen – ved ikke at have indført foranstaltninger til at sikre, at listerne var korrekte, og – efter det oplyste – alene at have baseret sikkerheden på, at der ikke tidligere var sket menneskelige fejl – ikke havde levet op til reglerne med behandlingssikkerhed.
Afgørelsen er interessant, fordi den viser, at det ikke er nok at basere sin sikkerhed på, at der ikke tidligere er sket menneskelige fejl, da det er alment kendt, at menneskelige fejl sker, hvorfor sikkerhed ikke – alene – kan baseres på en tiltro til, at mennesker ikke begår fejl.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Digitaliseringsstyrelsen har den 31. marts 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Det fremgår af anmeldelsen, at Digitaliseringsstyrelsen den 29. og 30. marts 2021 blev kontaktet af et advokatfirma angående en uretmæssig adgang til en virksomheds digitale postkasse. Advokatfirmaet havde som kurator anmodet Digitaliseringsstyrelsen om at få adgang til en anden virksomheds digitale postkasse. Advokatfirmaet opdagede imidlertid, at de havde fået adgang til en forkert virksomhedspostkasse, og de kontaktede herefter Digitaliseringsstyrelsen.
Det fremgår videre af anmeldelsen, at Digitaliseringsstyrelsen, efter henvendelsen fra advokatfirmaet, kontaktede styrelsens leverandør, e-Boks, og bad dem lukke for den uretmæssige adgang den 30. marts 2021. e-Boks bekræftede, at adgangen var lukket den 30. marts 2021. På baggrund af den konkrete henvendelse foretog Digitaliseringsstyrelsen en nærmere undersøgelse den 31. marts 2021, som viste, at der var givet yderligere 25 forkerte adgange.
Digitaliseringsstyrelsen har oplyst, at styrelsen er dataansvarlig for tildelingen af kuratoradgange til virksomhedspostkasser i Digital Post. Som ansvarlig myndighed for den fællesoffentlige digitale port-løsning ”Digital Post” varetager Digitaliseringsstyrelsen arbejdet med at tildele læseadgang til virksomheders digitale postkasser ved konkurs, ophør mm. Ved at rette henvendelse til Digitaliseringsstyrelsen kan kurator eller likvidator anmode om at få adgang til virksomhedens digitale postkasse, såfremt man kan dokumentere en retmæssig adkomst til den pågældende postkasse.
Det fremgår af Digitaliseringsstyrelsens udtalelse til Datatilsynet, at i den konkrete hændelse har styrelsens nærmere undersøgelser afdækket, at fejlen opstod ved, at adgangshaver (den person/juridisk enhed, der anmoder om læseadgang til en virksomhedspostkasse) og adgangsgiver (det/den, der skal gives postkasselæseadgang til) var blevet sammensat forkert på baggrund af en liste af 25. marts 2021, som styrelsen havde udarbejdet og efterfølgende sendt til leverandøren e-Boks.
Digitaliseringsstyrelsen har gjort gældende, at den fejlagtige tildeling formentlig er sket ved, at linjerne med cvr-numre er blevet forskudt, således at cvr-numre på adgangshaver og adgangsgiver er blevet sammensat forkert i den fremsendte liste. På baggrund af denne liste oprettede styrelsens leverandør e-Boks den tekniske adgang, da hverken styrelsen eller e-Boks på daværende tidspunkt var bekendt med, at der var fejl i den pågældende liste.
Hertil har Digitaliseringsstyrelsen oplyst, at styrelsen ugentligt udarbejder tre lister alt afhængig af, hvilken type virksomhed der gives adgang til, samt virksomhedens status i cvr-registeret. Der er tale om en manuel proces, som består af flere forskellige trin, og det er styrelsens formodning, at fejlen er opstået i et af de sidste led i udarbejdelsen af denne liste. Styrelsens undersøgelse har desuden peget på, at fejlen er opstået i forbindelse med den manuelle del af processen.
Digitaliseringsstyrelsen har endvidere oplyst, at styrelsen ikke tidligere har oplevet, at der er sket fejl i udarbejdelsen af den pågældende liste. Den liste, hvor sikkerhedshændelsen skete, og hvor cvr-numrene var sammensat forkert, var på daværende tidspunkt ikke en del af flerøjneprincippet.
I den forbindelse har Digitaliseringsstyrelsen oplyst, at dette flerøjneprincip i dag er implementeret på alle tre lister, så risikoen for fejl er minimeret.
I forlængelse heraf har Digitaliseringsstyrelsen oplyst, at styrelsen har implementeret en række tiltag, som skal minimere risikoen for, at denne type sikkerhedshændelser sker. Digitaliseringsstyrelsen har bl.a. indført en procedure, hvor en ekstra medarbejder gennemgår listerne for fejl, inden de sendes til leverandøren. Hertil har styrelsen bemærket, at den liste, hvor den pågældende sikkerhedshændelse opstod, ikke var omfattet af denne procedure på daværende tidspunkt, da styrelsen ikke tidligere havde oplevet problemer med denne specifikke liste. Hvilket var årsagen til, at fejlen ikke blev opdaget af den anden medarbejder.
Herudover har Digitaliseringsstyrelsen oplyst, at da styrelsen blev opmærksom på sikkerhedshændelsen, bestilte de logfiler hos leverandøren e-Boks. Logfilerne viste, at ingen af de 26 forkerte tildelte adgange havde været anvendt. Advokatfirmaet, som gjorde styrelsen opmærksom på sikkerhedshændelsen, har desuden den 31. marts 2021 skriftligt bekræftet over for styrelsen, at advokatfirmaet ikke har tilgået indholdet af den virksomhedspostkasse, som de fejlagtigt havde fået adgang til.
Digitaliseringsstyrelsen har anført, at det er styrelsens vurdering, at de øvrige 25 forkert tildelte virksomhedsadgange og de registrerede (såvel de personoplysninger, der fremgår af posten, som de pågældende advokatfirmaer, der er udpeget som kuratorer), ikke skal underrettes om bruddet på persondatasikkerheden. I den forbindelse har Digitaliseringsstyrelsen anført, at det skyldes, at logfilerne dokumenterer, at adgangene ikke har været brugt, hvorfor det er styrelsens vurdering, at der ikke er tale om et sikkerhedsbrud, der sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Digitaliseringsstyrelsen oplyste til grund, at Digitaliseringsstyrelsen på grund af en menneskelig fejl tildelte 26 kuratorer adgang til forkerte virksomheders digitale postkasser.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger, og, at der ved adgang til data i sådanne systemer stilles større krav til sikring imod, at en enkelt menneskelig fejl kan resultere større brud på persondatasikkerheden.
Det er Datatilsynets opfattelse, at tildeling af adgange til postkasser, der tilhører tredjemænd, også hvor en kurator gives adgang til boets aktiver og digitale post, skal verificeres inden adgangen bliver effektueret. Det vil derfor normalt være udtryk for passende sikkerhed, at der inden adgangen åbnes, sker en kontrol af, at det er den kurator – der er udpeget – der reelt også får adgangen.
Datatilsynet finder på ovenstående baggrund, at Digitaliseringsstyrelsen – ved at ikke at have indført foranstaltninger til at sikre, at listerne var korrekte, og – efter det oplyste – alene har baseret sikkerheden på, at der ikke tidligere var sket menneskelige fejl – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved styrelsens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion i skærpende retning lagt vægt på, at Digitaliseringsstyrelsen har oplevet lignende fejl før i anmeldelserne på Datatilsynets sager med j.nr. 2020-442-10578 og 2020-442-9811, og at det er alment kendt, at menneskelige fejl sker, hvorfor sikkerhed ikke – alene – kan baseres på en tiltro til, at mennesker ikke begår fejl.
Datatilsynet har noteret sig, at Digitaliseringsstyrelsen efterfølgende har implementeret et flerøjneprincip på listerne over virksomhedspostkasser, som styrelsen giver adgang til.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).