Journalnummer: 2021-423-0240.
Kalundborg Kommune var blandt de offentlige myndigheder, som Datatilsynet i foråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som bl.a. fokuserede på, om Kalundborg Kommune havde truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der skete uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Tilsynet blev ved brev af 21. juni 2021 varslet over for Kalundborg Kommune, og kommunen blev ved samme lejlighed anmodet om at besvare en række spørgsmål og at fremsende et eksempel på en instruks til kommunens medarbejdere om håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder m.v. Datatilsynet oplyste om baggrunden for tilsynet, at det ved en gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden kunne konstateres, at Kalundborg Kommune havde anmeldt væsentlig flere brud på persondatasikkerheden pr. indbygger i kommunen end Danmarks øvrige kommuner. Datatilsynet bemærkede i den forbindelse, at det højere antal anmeldelser ikke nødvendigvis er udtryk for, at kommunen efterlever databeskyttelsesreglerne i ringere grad end kommuner, der har væsentligt færre anmeldelser pr. indbygger.
Ved brev af 22. juli 2021 sendte Kalundborg Kommune en udtalelse, hvor kommunen svarede på Datatilsynets spørgsmål. Kommunes svar var endvidere vedlagt eksempler på relevante procedurer og retningslinjer.
1. Afgørelse
Efter en gennemgang af det fremsendte materiale finder Datatilsynet på det foreliggende grundlag, at Kalundborg Kommune har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet, og en begrundelse for Datatilsynets afgørelse.
2. Begrundelse for Datatilsynets afgørelse
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at den dataansvarlige skal sikre, at oplysninger om registrerede, herunder særligt fortrolige og følsomme personoplysninger, ikke kommer uvedkommende til kendskab, og at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at alle medarbejdere i organisationen i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til fremsendelse af personoplysninger til bl.a. borgere, myndigheder mv., og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Kalundborg Kommune har i udtalelsen af 22. juli 2021 fremsendt eksempler på retningslinjer og instrukser til kommunens medarbejdere vedrørende håndtering af personoplysninger, herunder i forbindelse med fremsendelse af oplysninger til bl.a. borgere, myndigheder mv.
Kommunen har derudover oplyst, at der løbende gennemføres kurser og undervisning for ledere og medarbejdere, herunder to årlige workshops, hvor der er fokus på behandling af personoplysninger og informationssikkerhed.
Kalundborg Kommunen har endvidere oplyst, at der hos de enkelte sagsbehandlere er stort fokus på, at der ikke videregives fortrolige oplysninger om én forælder til en anden, herunder særligt i relation til navne- og adressebeskyttelse. Processerne og overvejelserne herom er typisk indarbejdet konkret i de områder, de vedrører, da det er en almindelig, integreret del af de overvejelser, den enkelte medarbejder gør sig i relation til tavshedspligten. Det er videre oplyst, at overvejelserne ofte opstår i forbindelse med anmodninger om aktindsigt, når der skal gives adgang til AULA, samt når der modtages henvendelser om orientering om et barn i henhold til forældreansvarsloven. Opmærksomheden herpå er bl.a. understøttet ved, at det er omtalt i en vejledning om AULA i forhold til oprettelse af kontaktforældre, at det direkte fremgår af AULA, om der er navne- og adressebeskyttelse, at det er indarbejdet i standardskabeloner til aktindsigt, og at der er udarbejdet en procesbeskrivelse i forhold til orienteringsretten i forældreansvarsloven.
Det fremgår videre af sagen, at Kalundborg Kommune har gjort sig overvejelser i forlængelse af passerede brud på persondatasikkerheden, hvor der er sket utilsigtet videregivelse af personoplysninger. Kommunen har på baggrund af overvejelserne løbende implementeret organisatoriske foranstaltninger, herunder ved implementering af sikkerhedsregler samt udarbejdelse af procedurer og vejledninger, samt udarbejdelse af handleplaner mv. Endvidere har kommunen implementeret tekniske foranstaltninger, som f.eks. en sikkerhedslicenspakke. Kommunen har derudover oplyst, at kommunen har planlagt at iværksætte yderligere tekniske og organisatoriske foranstaltninger med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker utilsigtet videregivelse af personoplysninger.
Det er – uagtet at Datatilsynet ikke har haft lejlighed til at tage konkret stilling til, om alle relevante medarbejdere har gennemført de pågældende uddannelsesaktiviteter, og at tilsynet ikke er bekendt med det fulde indhold af al uddannelsesmateriale, herunder af indholdet af f.eks. undervisningsforløb – på det foreliggende grundlag tilsynets vurdering, at Kalundborg Kommune har truffet passende sikkerhedsforanstaltninger i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, med henblik på at nedbringe antallet af brud på persondatasikkerheden, hvor der sker uautoriseret videregivelse af personoplysninger, herunder i relation til borgere med navne- og adressebeskyttelse.
Datatilsynet har ved vurderingen heraf lagt vægt på det oplyste fra kommunen, herunder at der er udarbejdet procedurer mv. og gennemført aktiviteter med henblik på at uddanne medarbejderne i databeskyttelse, herunder med henblik på at de er opmærksomme på, at der ikke sker utilsigtet videregivelse af personoplysninger til en forkert modtager, at kommunen har gjort sig overvejelser og indført både tekniske og organisatoriske foranstaltninger i forlængelse af passerede brud på persondatasikkerheden for at udgå lignende brud, og at der er stort fokus på undgå utilsigtet videregivelse af navne- og adressebeskyttede oplysninger, hvilket både understøttes systemmæssigt og af procedurer, standardskabeloner mv.
Datatilsynet kan ved en fornyet gennemgang af tilsynets sager vedrørende anmeldelser af brud på persondatasikkerheden konstatere, at der siden 21. juni 2021 ses at være sket et fald i antallet af anmeldte brud på persondatasikkerheden fra Kalundborg Kommune. Idet der imidlertid fortsat anmeldes en del brud på persondatasikkerheden, hvor der er sket uautoriseret videregivelse af personoplysninger, henstiller Datatilsynet til, at kommunen fortsat, løbende har fokus på at gennemføre uddannelses- og awarenessaktiviteter mv. samt at sikre, og at procedurer, retningslinjer, arbejdsgange, tekniske sikkerhedsforanstaltninger mv. løbende opdateres eller indføres, herunder som følge af konstaterede brud på persondatasikkerheden.
Datatilsynet bemærker afslutningsvis, at tilsynet – typisk hvis tilsynet modtager nye anmeldelser om brud på persondatasikkerheden – vil kunne genoptage behandlingen af tidligere anmeldte brud eller lade dem indgå i vurderingen af eventuelle fremtidige brud- eller klagesager.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (Databeskyttelsesloven)