Journalnummer: 2023-432-0003
Resume
Familieretshuset har anmeldt 28 brud på persondatasikkerheden til Datatilsynet i perioden fra den 6. januar 2023 til den 30. juni 2024. Bruddene består i, at Familieretshuset uberettiget har videregivet oplysninger om beskyttede navne og adresser eller andre oplysninger, som potentielt kan afsløre en persons opholdssted, herunder ophold på krisecenter. Oplysningerne blev i de fleste tilfælde videregivet til den anden part i sagen, som typisk kunne være årsagen til valget om navne- og adressebeskyttelse eller ophold på krisecenter.
De utilsigtede videregivelser skyldes menneskelige fejl som følge af uopmærksomhed hos medarbejderne.
Datatilsynet har tidligere behandlet to lignende sager om Familieretshusets utilsigtede videregivelse af de samme typer af oplysninger. Datatilsynet traf afgørelse i disse sager den 4. marts 2021 og den 6. september 2022. I begge sager blev der udtalt alvorlig kritik, og i sagen fra 2022 fik Familieretshuset tillige et påbud om at foretage en fornyet risikovurdering og på baggrund heraf at etablere fornødne organisatoriske eller tekniske sikkerhedsforanstaltninger for at mindske risikoen for nye lignende brud.
Alvorlig kritik for ikke at leve op til kravet om passende sikkerhed
Datatilsynet kan konstatere, at Familieretshuset igennem en årrække har taget initiativ til at gennemføre en række sikkerhedsforanstaltninger for at mindske risikoen for denne type af brud.
Datatilsynet finder imidlertid grundlag for på ny at udtale alvorlig kritik af, at Familieretshuset ikke havde levet op til kravet om passende sikkerhed.
I lyset af det fortsat forholdsvist høje antal brud og de meget alvorlige konsekvenser, denne type brud kan have for de berørte personer, er det Datatilsynets opfattelse, at Familieretshuset fortsat og løbende skal udfolde endog meget store bestræbelser for at undgå utilsigtet videregivelse af særligt oplysninger om beskyttede navne og adresser og ophold på krisecenter mv. Det er endvidere Datatilsynets opfattelse, at Familieretshuset endnu ikke har implementeret tilstrækkelige sikkerhedsforanstaltninger – eller sikret, at de identificerede foranstaltninger endnu har haft den fornødne effekt – for at nedbringe risikoen for, at medarbejderne på grund af fejl, misforståelser eller uopmærksomhed utilsigtet videregiver oplysninger om registrerede til uvedkommende modtagere, herunder særligt sagens modpart, som ofte er årsagen til beskyttelsesbehovet.
Familieretshuset har således ikke i tilstrækkelig grad sikret, at medarbejderne har haft den fornødne omhu ved behandlingen af borgernes personoplysninger, herunder i forbindelse med den ekstra kontrol, der i visse tilfælde bliver udført af en anden sagsbehandler, ligesom der endnu ikke i tilstrækkeligt omfang er implementeret organisatoriske eller tekniske sikkerhedsforanstaltninger, som på anden vis kan afhjælpe de utilsigtet videregivelser af personoplysninger, der løbende er sket som følge af misforståelser, fejl eller opmærksomhed hos medarbejderne.
Datatilsynet har dog noteret sig, at Familieretshuset fortsat arbejder med at styrke eksisterende foranstaltninger og at implementere nye foranstaltninger, der skal mindske risikoen for lignende brud, samt med at implementere processer for løbende kontrol og evaluering af effektiviteten af eksisterende sikkerhedsforanstaltninger, herunder i forbindelse med konstatering af nye brud.
Datatilsynet finder imidlertid grundlag for fortsat at følge udviklingen i antallet af sådanne brud tæt. Datatilsynet har i den forbindelse bedt Familieretshuset om i det kommende år at fremsende uddybende oplysninger – i forhold til de oplysninger, der allerede angives i forbindelse med anmeldelsen af bruddet til Datatilsynet – ved eventuelle fremtidige brud af samme type. Det omfatter bl.a. en uddybende beskrivelse af, hvad vurderingen af bruddet har ført til i forhold til at mindske risikoen for lignende brud.
Gentagne brud på persondatasikkerheden bør generelt få dataansvarlige til at reflektere over allerede foretagne risikovurderinger. Brudtyper, der henføres til personlige fejl eller enkeltstående episoder, bør ved gentagelse give anledning til indførelse af yderligere effektive kontrolforanstaltninger, nye retningslinjer og eller teknisk understøttelse, der minimerer de nu kendte og aktualiserede risici.
Afgørelse
1. Baggrund
Datatilsynet vender hermed tilbage til sagen[1], hvor Datatilsynet den 6. september 2022 – i en sag tilsynet havde startet af egen drift vedrørende Familieretshusets utilsigtede videregivelser af beskyttede navne- og adresseoplysninger – udtalte alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens[2] artikel 32, stk. 1.
Datatilsynet fandt samtidig grundlag for at meddele Familieretshuset påbud om at foretage en fornyet risikovurdering på baggrund af de i afgørelsen omhandlede brud. Familieretshuset skulle endvidere på baggrund af risikovurderingen etablere fornødne organisatoriske og eller tekniske sikkerhedsforanstaltninger. Såfremt Familieretshuset vurderede, at risikoen for de registreredes rettigheder og frihedsrettigheder var høj, indeholdt påbuddet også, at Familieretshuset skulle udfærdige en konsekvensanalyse, jf. databeskyttelsesforordningens artikel 35. Fristen for at efterkomme påbuddet var den 6. januar 2023.
Datatilsynet anmodede om senest samme dato at modtage en bekræftelse på, at påbuddet var efterlevet samt oplysninger om, hvilke ændringer i de tekniske og organisatoriske foranstaltninger der var blevet iværksat.
Sagen omhandlede 37 anmeldelser om brud på persondatasikkerheden modtaget fra den 27. maj 2021 til den 16. august 2022.
Bruddene vedrørte videregivelse af beskyttede adresser, beskyttede navne, telefonnumre, e-mailadresser, oplysninger om hvor børnene gik i skole eller institution, opholdssted for den ene part, herunder navne på krisecentre, fornavn og stillingsbetegnelse på lederen af et krisecenter, by eller kommune, som potentielt kunne afsløre partens opholdssted over for den uberettigede modtager.
Oplysningerne var i de fleste tilfælde blevet videregivet til modparten i sagen, som typisk var den person, som var årsagen til, at parten havde navne- og adressebeskyttelse. Grunden til at ønske navne- og adressebeskyttelse i forhold til modparten kunne være for at undgå, at modparten skulle få oplysninger om opholdssted, f.eks. på grund af bekymring for børnebortførsel, vold mv. eller fordi parten ikke ønskede kontakt via mail eller telefonisk med den anden part, der evt. også havde et tilhold. I nogle tilfælde havde den ene forælder også fået nyt navn for at skjule sig fra den anden forælder.
Oplysningerne var blevet videregivet i forbindelse med besvarelse af aktindsigtsanmodninger, fremsendelse af afgørelser, orienteringsskrivelser og partshøringer. Videregivelserne skyldtes hovedsageligt menneskelige fejl i form af, at sagsbehandlerne ikke havde været opmærksomme på oplysningerne, hvorfor der ikke var foretaget den fornødne anonymisering af oplysningerne, inden afgørelser mv. blev sendt til modparten
Datatilsynet anførte i forbindelse med kritikafgørelsen, at tilsynet kunne konstatere, at Familieretshuset – efter tilsynets afgørelse af 4. marts 2021[3] – havde gennemført betydelige organisatoriske foranstaltninger for at undgå utilsigtet videregivelse af beskyttede navne- og adresseoplysninger. Det var dog Datatilsynets opfattelse, at nye og gentagne brud på persondatasikkerheden eller hændelser, der skulle føres på listen påkrævet efter databeskyttelsesforordningens artikel 33, stk. 5, burde have fået den dataansvarlige til at reflektere over allerede foretagne risikovurderinger. Brudtyper, der henførtes til personlige fejl eller enkeltstående episoder burde – ved gentagelse – have givet anledning til indførelse af yderligere effektive kontrolforanstaltninger eller teknisk understøttelse, der minimerede de nu kendte og aktualiserede risici.
Datatilsynet fandt, at Familieretshuset – ved at have konstateret og anmeldt flere ligeartede brud på persondatasikkerheden, uden at have genovervejet de eksisterende foranstaltninger med henblik på at forhindre fremtidige brud af samme type – ikke havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passede til de risici, der var ved Familieretshusets behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1. Datatilsynet lagde særligt vægt på, at Familieretshuset ikke i tilstrækkeligt omfang havde haft de fornødne procedurer for regelmæssig efterprøvning, vurdering og evaluering af effektiviteten af, de allerede etablerede foranstaltninger.
Datatilsynets udtalte ligeledes alvorlig kritik af Familieretshuset den 4. marts 2021[4]
Datatilsynet startede ligeledes den 1. oktober 2020 en sag af egen drift over for Familieretshuset, da tilsynet kunne konstatere, at Familieretshuset fra maj 2018 og frem til den 27. september 2020 havde anmeldt 158 brud på persondatasikkerheden, og at 134 af disse anmeldelser vedrørte utilsigtet videregivelse af personoplysninger. Af de 134 brud fandtes 34 tilfælde at vedrøre personer med beskyttede navne og adresser.
Datatilsynet traf den 4. marts 2021 afgørelse i sagen. Datatilsynet fandt bl.a., at Familieretshuset ikke i tilstrækkelig grad havde sikret, at medarbejderne havde haft den fornødne omhu ved behandling af borgernes personoplysninger, herunder beskyttede navne- og adresseoplysninger.
Det var Datatilsynets vurdering, at de menneskelige fejl kunne have været undgået under iagttagelse af fornøden omhu fra medarbejdernes side, ligesom den ekstra kontrol, der blev udført af en anden sagsbehandler, åbenbart ikke var tilstrækkelig effektiv.
Datatilsynet fandt på den baggrund, at der var grundlag for at udtale alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
2. Afgørelse
Datatilsynet har noteret, at Familieretshuset den 6. januar 2023 har fremsendt en risikovurdering og konsekvensanalyse indeholdende yderligere foranstaltninger med henblik på at nedbringe risikoen for utilsigtet videregivelse af personoplysninger.
Datatilsynet har imidlertid fulgt den efterfølgende udvikling i antallet af den samme type brud som dem, der var omfattet af afgørelsen af 6. september 2022, og Datatilsynet finder på den baggrund, at der på ny er grundlag for at udtale alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[5] artikel 32, stk. 1.
Fremtidig proces ved lignende sikkerhedsbrud
På baggrund af denne og de tidligere afgørelser, som illustrerer, at der – på trods af oplysninger om mange etablerede sikkerhedsforanstaltninger – over en længere periode har været et forholdsvist stort antal brud af en karakter, som kan have meget alvorlige konsekvenser for de berørte personer, finder Datatilsynet grundlag for at anmode Familieretshuset om at fremsende uddybende oplysninger[6] ved eventuelle fremtidige sikkerhedsbrud af samme type som dem, der var omfattet af afgørelsen af 6. september 2022.
Familieretshuset bedes bl.a. oplyse følgende:
- En uddybende beskrivelse af hændelsen
- En uddybende beskrivelse af årsagen til bruddet
- Var der retningslinjer, procedurer eller processer mv., som kan mindske risikoen for sådanne brud?
- Hvis ja – oplys hvilke
- Hvis ja – blev de fulgt?
- Hvis ja – var den/de relevante medarbejdere bekendt med dem?
- En beskrivelse af hvad vurderingen af bruddet har ført til i forhold til at mindske risikoen for lignende brud, herunder f.eks.:
- Genopfriskning / indskærpelse af eksisterende foranstaltninger – angiv hvilke samt hvordan og over for hvem det er sket / vil ske
- Tilpasning af eksisterende retningslinjer / procedurer mv. – angiv hvilke samt hvordan og overfor hvem de er / vil blive udbredt
- Indførelse af nye foranstaltninger – angiv hvilke samt hvordan og overfor hvem de er / vil blive udbredt
- Ingenting – angiv hvorfor
- En beskrivelse af hvem / hvilke enheder, der har været involveret i håndteringen af bruddet, herunder beslutningen om at gennemføre eller at undlade at gennemføre tiltag for at mindske risikoen for lignende brud, samt hvordan overvejelserne og beslutningerne herom er dokumenteret
- En uddybende beskrivelse af hvilke konsekvenser bruddet kan have eller har haft for den/de registrerede
- Hvad Familieretshuset har gjort for at afhjælpe uønskede konsekvenser af bruddet
- Andre oplysninger som vurderes relevante i forbindelse med Datatilsynets vurdering af Familieretshusets håndtering af bruddet, herunder for at undgå lignende brud.
Fristen for at fremsende de uddybende oplysninger er 4 uger efter, at bruddet er anmeldt til Datatilsynet.
Ordningen gælder foreløbigt for brud anmeldt til Datatilsynet frem til den 1. juli 2025.
Det bemærkes i forbindelse med ovenstående, at Datatilsynet har noteret sig, at Familieretshuset den 8. december 2023 har oplyst, at proceduren for behandling af indberettede databrud er blevet revideret således, at de enkelte brud undersøges indgående netop med henblik på at skabe et bedre grundlag for at tilrettelægge effektive tiltag.
Nedenfor følger en nærmere gennemgang af sagens oplysninger og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
Supplerende foranstaltninger som følge af den påbudte risikovurdering
Familieretshuset fremsendte den 6. januar 2023 en risikovurdering og konsekvensanalyse, hvor Familieretshuset redegjorde for igangsatte og planlagte foranstaltninger, der skulle bidrage til at nedbringe antallet af sikkerhedsbrud, der i høj grad skyldes menneskelige fejl.
Det fremgår heraf, at Familieretshuset bl.a. havde igangsat følgende supplerende sikkerhedsforanstaltninger:
- Dataminimering i ansøgningen ved selvbetjeningsløsning, herunder ved design af ansøgningsblanketten (effekt vurderes: høj – igangsat i Q1 2023)
- Implementering af nyt sagssystem som i højere grad understøtter privacy by design, herunder understøtter dataminimering og anonymisering både i ansøgning og sagsbehandling og udsendelsesprocessen samt understøtter mere ensartede, tværgående procedurer (effekt vurderes: mellem – igangsat i Q2 2022, forventes implementeret i 2024)
- Dataminimering i brevskabeloner, notater og mødereferater, herunder (i) sikring af design og format af skabelonerne samt (ii) udarbejdelse af ensartede, tværgående procedurer med vejledning og instruks til medarbejderne vedrørende brug og udfyldelse af skabelonerne (effekt vurderes: høj – igangsat i Q3 2022, forventes implementeret ved udgangen af Q2 2024)
- Udvidelse og formalisering af eksisterende GDPR awareness program med målrettet og programsat awareness, herunder både på et generelt niveau for hele organisationen og mere specifik træning til udvalgte afdelinger, enheder og medarbejdergrupper med respekt for bl.a. de behandlingsaktiviteter, der vurderes at være forbundet med størst risici, og de dele af organisationen, der i størst udstrækning har berøring med persondatabehandling og er tildelt særlige roller og ansvar i informationssikkerhedsorganisationen (effekt vurderes: høj – igangsat i Q1 2023)
- Implementering af løsning for forsinket fremsendelse af breve mv. via fjernprint fra F2 (sagsbehandlingssystem) for derved i højere grad at muliggøre tilbagekaldelse af korrespondance i tilfælde af fejlfremsendelse (effekt vurderes: mellem – allerede igangsat og forventes implementeret ultimo Q1 / primo Q2 2023)
- Indførelse af fornødne procedurer for regelmæssig efterprøvning, vurdering og evaluering af effektiviteten af allerede etablerede foranstaltninger, herunder f.eks. (i) stikprøver på, om medarbejderne har gennemgået den nødvendige awareness træning, (ii) kontrol af, at de enkelte medarbejdere efterlever fastsatte procedurer samt (iii) implementering af et årshjul, der sikrer løbende og regelmæssig kontrol, vurdering og evaluering af effektiviteten af de etablerede sikkerhedsforanstaltninger (effekt vurderes: mellem – igangsat Q1 2023)
- Implementering af nyt anonymiseringsværktøj, der har til formål at scanne dokumenter for specifikke datafelter, hvori der er personoplysninger (effekt vurderes: høj – forventes implementeret i Q1 2023)
- Udarbejde/udvide arbejdsgange, instrukser til understøttelse af korrekt persondata håndtering, herunder med fokus på at understøtte arbejde med bl.a. håndtering af anonymisering og korrekt notatskrivning (effekt vurderes: mellem – igangsat Q3 2022)
- Indhentelse af opdateret estimat fra leverandør på F2 (sagsbehandlingssystem) for estimat og løsningsforslag, der retter fejl i brevfletfunktionen (effekt vurderes: mellem – indhentet fornyet estimat for løsning i Q1 2023).
Den efterfølgende udvikling i antallet af brud
Datatilsynet har fulgt den efterfølgende udvikling i antallet af anmeldte sikkerhedsbrud af samme type, som dem der var omfattet af afgørelsen af 6. september 2022, for at afklare, om der er sket et fald i antallet af brud – som eventuelt kan skyldes indførelse af supplerende sikkerhedsforanstaltninger.
Gennemgangen af bruddene har vist, at Familieretshuset i perioden fra 6. januar 2023 til 30. juni 2024 har anmeldt 28 lignende brud, der fordeler sig således[7]:
- 3 brud i perioden fra den 6. januar 2023 frem til den 30. maj 2023
- 12 brud i perioden fra den 1. juni 2023 til den 31. august 2023
- 3 brud i perioden fra den 1. september 2023 til 30. november 2023
- 6 brud i perioden 1. december 2023 til 31. januar 2024
- 4 brud i perioden fra 1. februar 2024 til den 30. juni 2024.
Årsagerne til de indberettede sikkerhedsbrud er primært angivet til at være menneskelige fejl i form af medarbejderens uopmærksomhed.
Familieretshusets udtalelse af 15. september 2023 om effekten af sikkerhedsforanstaltningerne
Som led i vurderingen, af om Familieretshuset har efterlevet påbuddet af 22. september 2022 gennemgik Datatilsynet de lignende brud, som Familieretshuset har anmeldt til Datatilsynet i perioden fra 22. september 2022 til 31. juli 2023. Det var i alt 28 brud, hvoraf 13 var anmeldt efter den 6. januar 2023. Af de 13 brud var 10 anmeldt i henholdsvis juni og juli 2023.
Datatilsynet anmodede på den baggrund ved brev af 18. august 2023 Familieretshuset om at oplyse, om det vurderes, at de yderligere etablerede sikkerhedsforanstaltninger havde haft en effekt i forhold til at nedbringe risikoen for utilsigtet videregivelse af bl.a. beskyttede navne- og adresseoplysninger, og om Familieretshuset forventede en yderligere effekt set i lyset af, at ikke alle planlagte foranstaltninger var implementeret endnu.
Familieretshuset oplyste den 15. september 2023, at der var stort fokus på at undgå databrud i de ca. 150.000 sager, der behandles årligt. Familieretshuset havde således igangsat en række initiativer og i den forbindelse havde Familieretshuset navnlig gennemført awareness-tiltag, gennemgået selvbetjeningsløsninger med henblik på dataminimering og forbedret arbejdsgangene for at minimere antallet af databrud, ligesom Familieretshuset var i færd med et arbejde, der skulle sikre et endnu større fokus på præcision ved indhentelse af oplysninger og på grundlaget for vurdering af, hvilke oplysninger der kan og skal undtages fra partshøring og aktindsigt.
Familieretshuset gjorde endvidere opmærksom på, at der (allerede) var følgende særlige sagsbehandlingsskridt, der skal imødegå denne type sikkerhedsbrud:
- Hvis en af sagens parter har ophold på krisecenter registreres det i sagstitlen på sagen. På den måde sikrer Familieretshuset, at sagsbehandleren tydeligt kan se, at en af sagens parter har eller har haft ophold på et krisecenter eller har navne- og adressebeskyttelse
- I forbindelse med partshøring og aktindsigt, hvor en part opholder sig på krisecenter, fremgår det af Familieretshusets retningslinjer, at oplysninger om ophold på krisecenter skal fjernes, så modparten ikke kan blive bekendt med, hvor den anden part opholder sig, medmindre det er konkret oplyst, at det ikke er nødvendigt
- I tilfælde, hvor en af sagens parter har navne- og adressebeskyttelse, tilføjes det ligeledes i sagstitlen, således at det sikres, at der ved partshøring og aktindsigt tages stilling til, hvorvidt navne- og adressebeskyttelse er udtryk for en situation, hvor sådanne forhold er til stede, at afgørende hensyn til private interesser tilsiger, at oplysningerne skal hemmeligholdes med hjemmel i forvaltningslovens § 15 b, nr. 5
- Når en sagsbehandler har undtaget oplysninger fra partshøring/aktindsigt, skal partshøringen/aktindsigten altid dobbelttjekkes af en kollega for at opfange eventuelle fejl i anonymiseringen
- Uddelegeres opgaven med at give aktindsigt til den enhed, som behandler aktindsigtsanmodninger, skal det i en note på anmodningen om aktindsigt specifikt fremgå, om modparten og evt. barnet/børnene har navne- og adressebeskyttelse eller er på krisecenter. I den forbindelse skal det afklares, om den, der anmoder om aktindsigt, må gøres bekendt med modpartens/barnets/børnenes navn, adresse og kontaktoplysninger.
Det var Familieretshusets vurdering, at der havde været en positiv udvikling i antallet af databrud generelt, men også for databrud vedrørende oplysninger om navne- og adressebeskyttelse. Undtaget herfra var dog udviklingen hen over sommeren 2023, som Familieretshuset ville undersøge baggrunden for. Familieretshuset fulgte således udviklingen tæt med henblik på at kunne iværksætte passende tiltag ved behov.
Det blev endvidere oplyst, at Familieretshuset var i den afsluttende fase i relation til beslutning om valg af anonymiseringsværktøj til indkøb og implementering, hvilket forventes at kunne nedbringe antallet af databrud i form af oversete enkeltangivelser af ellers hemmeligholdte oplysninger.
Familieretshuset oplyste endelig, at der alligevel ikke ville blive indkøbt et nyt sagsbehandlingssystem, men at det eksisterende system derimod vil blive forbedret.
Familieretshusets supplerende udtalelse af 8. december 2023 om håndteringen af de efterfølgende brud
Ultimo oktober 2023 opgjorde Datatilsynet på ny antallet af modtagne anmeldelser fra Familieretshuset, der angik hændelser om utilsigtet videregivelse af oplysninger om beskyttede navne og adresser mv. Opgørelsen viste, at Familieretshuset havde anmeldt i alt 18 brud af den type i perioden fra januar til oktober 2023.
Datatilsynet fandt på den baggrund anledning til at foretage en ny høring for at afdække, om Familieretshuset i praksis havde gennemført og fortsat løbende gennemførte fornødne sikkerhedsforanstaltninger for at undgå sådanne brud. Datatilsynet anmodede bl.a. om at få oplyst følgende:
- Årsagen til de 18 brud
- Hvorfor bruddene kunne ske trods de implementerede sikkerhedsforanstaltninger
- Om de involverede medarbejdere havde gennemført relevant awareness træning, og om de var bekendt med relevante retningslinjer for håndtering af bl.a. partshøringer og aktindsigtsanmodninger
- Om ophold på krisecenter samt navne- og adressebeskyttelse i alle tilfælde var registreret i sagstitlen
- Om der blev foretaget dobbelttjek af en kollega i de tilfælde, hvor en sagsbehandler havde undtaget oplysninger i forbindelse med parthøringer og aktindsigtsanmodninger
- En beskrivelse af processen for undgå lignende brud.
- Om der var fundet grundlag for at indføre nye foranstaltninger for at undgå lignende brud.
I brev af 8. december 2023 oplyste Familieretshuset bl.a. følgende:
I langt overvejende grad er der tale om, at bruddene er opstået på grund af uopmærksomhed hos sagsbehandleren.
I omkring halvdelen af tilfældene har sagsbehandleren været opmærksom på beskyttelsesbehovet, men medarbejderen har grundet almindelig uopmærksomhed overset en enkelt beskyttelsesværdig oplysning i forbindelse videregivelsen. Dette forhold udgør den udfordring, at sædvanlige organisatoriske sikkerhedsforanstaltninger ikke nødvendigvis vil have den ønskede effekt.
Udfordringen er særlig stor i sommerferieperioden (juni-august), og i denne periode optræder forskellige typer af uopmærksomhed hos medarbejderne, herunder også at beskyttelsesbehovet bliver overset. Denne periode giver nogle unikke udfordringer i forhold til ferieafholdelse over en længere periode, hvor der samtidig henset til karakteren af Familieretshusets opgaveportefølje skal opretholdes tilnærmelsesvis almindelig drift, hvor længden af ferien sædvanligvis vil medføre, at høringer eller andre indkomne henvendelser ikke vil kunne afvente, at sagsbehandleren vender retur. Tilbageværende kollegaer bliver derfor nødt til at fungere som postpassere i sager, hvor sagsbehandleren holder sommerferie. Dette giver en forhøjet risiko for, at sagsbehandlere sender breve eller høringer ud i sager, som de ikke har det samme indgående kendskab til som til de sager, de selv har behandlet over en længere periode.
Der er fra ansættelsesforholdets start og løbende awareness-træning af Familieretshusets medarbejdere i retningslinjer, procedurer og processer med henblik på at træne medarbejderne i at beskytte oplysninger om beskyttede navne og adresser og oplysninger om krisecenter mod bl.a. uberettiget videregivelse. Samtidig drøftes de gældende retningslinjer for behandlingen af de omtalte oplysninger ved enhver relevant lejlighed og særligt, når der har været et brud på persondatasikkerheden, hvor oplysningerne har indgået. I samme forbindelse drøftes det, hvorvidt der er behov for yderligere foranstaltninger. De omhandlede brud er sket som følge af uopmærksomhed hos medarbejderen, og de giver derfor ikke givet anledning til at tro, at medarbejderne ikke havde fået tilstrækkelig awareness-træning.
Der var ikke i alle relevante tilfælde foretaget registrering af oplysninger om navne- og adressebeskyttelse og/eller ophold på krisecenter i sagstitlen.
Det var ikke i alle sager, hvor der skulle undtages oplysninger, at der blev foretaget dobbelttjek af en kollega for at opfange eventuelle fejl i anonymiseringen. I hovedparten af de omhandlede tilfælde (11 ud af 18 sager) har sagsbehandleren overset, at der var et behov for at beskytte oplysninger. I disse tilfælde har de pågældende medarbejdere ikke haft anledning til at få en kollega til at dobbelttjekke akterne i en afgørelse om aktindsigt eller i en partshøring, før de blev sendt, idet dobbelttjekket alene foretages i de tilfælde, hvor det er blevet vurderet, at oplysninger skal undtages. Derudover har der været nogle særlige uopmærksomheder, der bl.a. har gået på misforståelser eller manglende opmærksomhed på, at der af en særlig type akt kunne fremgå beskyttelsesværdige oplysninger. Sagen/akten blev som følge heraf ikke sendt til dobbelttjek ved en kollega. I den anden del af sagerne (6 ud af 18) havde medarbejderen undtaget oplysninger og efterfølgende sendt dokumenterne til dobbelttjek hos en kollega. Trods den ekstra kontrol var der alligevel oplysninger, der ikke var blevet bortredigeret, før dokumenterne / akterne blev videregivet. Én sag omhandlede ikke manglende anonymisering, men afsendelse til forkert modtager.
I forhold til processen for at undgå lignende brud oplyste Familieretshuset, at de konkrete brud bliver drøftet på enhedsmøder. I samme forbindelse gennemgås de gældende retningslinjer for behandlingen af sager, hvori de nævnte oplysninger indgår. I fjerde kvartal 2023 var der iværksat en indsats, hvor alle Familieretshusets medarbejdere hver uge blev orienteret om de brud, der havde været i den forgange uge, med henblik på at øge medarbejdernes opmærksomhed og fokus på beskyttelsen af de beskyttede oplysninger. Indsatsen ville blive evalueret i januar, hvorefter der ville blive fastsat en mere permanent procedure for løbende fælles opfølgning på databrud.
Familieretshuset har som udgangspunkt ikke indført nye tiltag på baggrund af de 18 brud, men har imidlertid på baggrund af den samlede mængde brud revideret proceduren for behandling af indberettede databrud således, at de enkelte brud undersøges indgående netop med henblik på at skabe et bedre grundlag for at tilrettelægge effektive tiltag.
Familieretshuset er særligt opmærksomme på de sager, hvori der indgår beskyttet navn og adresse samt oplysninger om krisecenter, og dette har gennem flere år resulteret i en række tekniske og organisatoriske foranstaltninger, som Familieretshuset har oplyst om i de tidligere høringssvar.
Familieretshuset er som tidligere nævnt opmærksom på, at der hen over sommeren 2023 har været en negativ udvikling i antallet af brud, hvor beskyttede navn- og adresseoplysninger og oplysninger om krisecenterophold er blevet videregivet uberettiget. Konkret er der tale om 13 brud, der skete i juni, juli og august, hvilket udgør en væsentlig andel af de samlede brud af denne type. Der er derfor opmærksomhed på, at der skal gøres en ekstra indsats i netop disse måneder. Hvilke foranstaltninger, der vurderes at være passende for at imødegå problematikken, planlægges afklaret og implementeret i første kvartal 2024.
Der er endvidere sendt påmindelse ud til alle medarbejdere via intranettet om at forsyne titlen på sager med navne- og adressebeskyttelse eller krisecenterophold med oplysning herom.
Familieretshuset er derudover i færd med et større tværgående arbejde med gennemgang af vidensløsninger, breve og arbejdsgange med henblik på at sikre, at der hverken indhentes eller gengives flere oplysninger i Familieretshusets sager end nødvendigt, og at sikre et fælles grundlag for at vurdere, hvornår der er et konkret beskyttelsesbehov, og hvornår der omvendt eksempelvis er tale om navne- og adresseoplysninger, der er kendt af begge parter, og hvor en registreret navne- og adressebeskyttelse har et andet formål end beskyttelse mod modparten i sagen. Arbejdet forventes også at øge opmærksomheden på problematikken med navne- og adressebeskyttelse samt krisecenteroplysninger yderligere, ligesom det er vedtaget, at der i den forbindelse vil blive implementeret et tiltag, hvor det udtrykkeligt skal dokumenteres på sagen – enten i notat eller brev – at der er taget stilling til, hvorvidt der er behov for at beskytte oplysningerne.
I forhold til tekniske sikkerhedsforanstaltninger i ESDH-systemet oplyste Familieretshuset, at der først skal ske en konsolidering af systemet til et andet og mere driftsvenligt miljø hos Statens IT, førend det vil være muligt at indføre disse. Konsolideringen forventes afsluttet i løbet af medio 2024, hvorefter Familieretshuset vil påbegynde et arbejde med at finde relevante tekniske sikkerhedsforanstaltninger til at imødegå de udfordringer, som den markante stigning i databrud i sommerperioden i år har påvist.
Familieretshuset har imidlertid, som tidligere oplyst, arbejdet på at erhverve et moderne anonymiseringsværktøj for i højere grad at gøre brug af tekniske hjælpemidler i arbejdet med beskyttelse af bl.a. beskyttede navne- og adresseoplysninger samt oplysninger om krisecenterophold. Indkøb af værktøjet er godkendt i Familieretshusets direktion, og implementering forventes påbegyndt i januar 2024. Værktøjet forventes fuldt implementeret ved udgangen af første kvartal 2024.
Familieretshusets supplerende udtalelse af 17. april 2024 om tiltag for at mindske risikoen for en stigning i antal brud i sommeren 2024
Ved brev af 25. marts 2024 anmodede Datatilsynet om at få oplyst, hvilke foranstaltninger der var identificeret for at imødegå problematikken med sikkerhedsbrud i sommerferieperioden, og hvornår de var eller ville blive implementeret.
Familieretshuset oplyste i den forbindelse ved brev af 17. april 2024, at der i januar 2024 var blevet indkøbt ny software til brug for identifikation og sløring af oplysninger, der skal beskyttes fra videregivelse, og at softwaren var under trinvis implementering. I februar 2024 var der i Familieretshusets ESDH-system blevet indført en kort forsinkelse på afsendelse af digital post således, at fejl, der opdages umiddelbart efter afsendelse, kan håndteres ved tilbagekaldelse af forsendelsen. I første kvartal 2024 var der blevet afholdt temamøder i Familieretshusets faglige netværk om Familieretshusets behandling af personoplysninger. Familieretshuset vil derudover arbejde målrettet med awareness op til og henover sommerperioden 2024, ligesom der vil være en vagtplan for sparring særligt om videregivelse af oplysninger med henblik på at imødegå tvivlsspørgsmål i de perioder, hvor faglige nøglepersoner på fagkontorerne kan have ferie.
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger til grund, at Familieretshuset i perioden fra den 6. januar 2023 til den 30. juni 2024 har anmeldt 28 brud omhandlende utilsigtet videregivelse af oplysninger om beskyttede navne og adresser eller andre oplysninger, som potentielt kan afsløre partens opholdssted. Oplysningerne er typisk videregivet til modparten, som kan være årsagen til valget om bl.a. navne- og adressebeskyttelse. Der var særligt et større antal brud i to kortere perioder – henholdsvis i sommeren 2023 og omkring årsskiftet 2023/2024.
Datatilsynet lægger endvidere til grund, at de utilsigtede videregivelser af oplysningerne skyldes menneskelige fejl som følge af uopmærksomhed hos medarbejderne.
Datatilsynet lægger derudover til grund, at Familieretshuset gennem en årrække har taget initiativ til at gennemføre en række sikkerhedsforanstaltninger for at mindske risikoen for denne type af brud.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Databeskyttelsesforordningen foreskriver ikke, hvilke præcise sikkerhedsforanstaltninger der skal gennemføres for at imødekomme forordningens krav til behandlingssikkerhed, idet der i stedet er fokus på en risikobaseret tilgang hertil. Generelt kan det dog siges, at kravene til behandlingssikkerhed skærpes, jo højere risikoen er for de berørte personer, hvis oplysninger en organisation behandler.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at man som dataansvarlig sikrer, at oplysninger om registrerede, herunder særligt fortrolige og følsomme oplysninger, ikke kommer til uvedkommendes kendskab, at der derfor bl.a. bør udføres passende kvalitetskontrol af indhold i fremsendte dokumenter med henblik på at undgå videregivelser af personoplysninger til uvedkommende, og at håndtering af fortrolige og følsomme personoplysninger generelt stiller større krav til medarbejdernes omhyggelighed i forbindelse med fremsendelse af personoplysninger, herunder sikring af at rette oplysninger sendes til rette modtager.
Det følger endvidere af forordningens artikel 32, stk. 1, litra d, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal gennemføre en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Dette krav indebærer bl.a., at gentagne brud på persondatasikkerheden bør få den dataansvarlige til at reflektere over allerede foretagne risikovurderinger. Brudtyper, der henføres til personlige fejl eller enkeltstående episoder, bør ved gentagelse give anledning til indførelse af yderligere effektive kontrolforanstaltninger, nye retningslinjer og eller teknisk understøttelse, der minimerer de nu kendte og aktualiserede risici.
Datatilsynet kan konstatere, at Familieretshuset – efter tilsynets afgørelse af 4. marts 2021 – har gennemført betydelige organisatoriske foranstaltninger for at undgå utilsigtet videregivelse af beskyttede navne- og adresseoplysninger.
Datatilsynet er endvidere opmærksom på, at Familieretshuset hvert år behandler et meget stort antal sager, herunder sager hvori der indgår beskyttede navne og adresser, og at sikkerhedsbrud som følge af menneskelige fejl kan være svære helt at undgå i disse sager, hvor videregivelsen af oplysninger ses at bero på manuelle processer og vurderinger.
Henset til det fortsatte forholdsvise høje antal brud og til de meget alvorlige konsekvenser denne type brud kan have for de berørte personer, er det imidlertid Datatilsynets opfattelse, at der fortsat og løbende skal udfoldes endog meget store bestræbelser for at undgå utilsigtet videregivelse af særligt oplysninger om beskyttede navne og adresser og ophold på krisecenter mv., og at Familieretshuset endnu ikke har implementeret tilstrækkelige sikkerhedsforanstaltninger – eller sikret at de identificerede foranstaltninger endnu har haft den fornødne effekt – for at nedbringe risikoen for, at medarbejderne på grund af fejl, misforståelser eller uopmærksomhed utilsigtet videregiver oplysninger om registrerede til uvedkommende modtagere, herunder særligt sagens modpart, som ofte er årsagen til beskyttelsesbehovet.
Familieretshuset har således ikke i tilstrækkelig grad sikret, at medarbejderne har haft den fornødne omhu ved behandlingen af borgernes personoplysninger – navnlig oplysninger om beskyttede navne og adresser og andre oplysninger, som potentielt kan afsløre en persons opholdssted med alvorlig skade til følge – herunder i forbindelse med den ekstra kontrol, der i visse tilfælde bliver udført af en anden sagsbehandler, ligesom der endnu ikke i tilstrækkeligt omfang er implementeret organisatoriske eller tekniske sikkerhedsforanstaltninger, som på anden vis kan afhjælpe de utilsigtet videregivelser af personoplysninger, der løbende er sket som følge af misforståelser, fejl eller opmærksomhed hos medarbejderne.
Datatilsynet finder på baggrund af ovenstående, at der på ny er grundlag for at udtale alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har dog noteret sig, at Familieretshuset fortsat arbejder med at styrke eksisterende foranstaltninger og at implementere nye foranstaltninger, der skal mindske risikoen for lignende brud, herunder særligt for at undgå at der på ny forekommer et større antal brud i sommerferieperioden, samt med at implementere processer for løbende kontrol og evaluering af effektiviteten af eksisterende sikkerhedsforanstaltninger, herunder i forbindelse med konstatering af nye brud.
Datatilsynet har endvidere noteret sig, at Familieretshuset i perioden fra februar 2024 til og med juni 2024 alene har anmeldt 4 brud af denne type. Ét af brudene skete i januar, som også var i en af de kortere perioder, hvor der skete et større antal brud. Det bemærkes i den forbindelse, at Datatilsynet forudsætter, at Familieretshuset afklarer, om der ligeledes op mod ferieperioden ved årsskiftet 2024/2025 er behov for at iværksætte yderligere tiltag for at undgå et større antal brud på samme måde, som det skete ved årsskiftet 2023/2024.
Som det fremgår ovenfor, finder Datatilsynet grundlag for fortsat, tæt at følge udviklingen i antallet af den i denne sag omhandlende type af sikkerhedsbrud. Datatilsynet imødeser derfor at modtage de uddybende oplysninger, som er angivet i afsnit 2, om eventuelle nye brud af denne type.
5. Afsluttende bemærkninger
Datatilsynets afgørelser kan ikke indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30. Tilsynets afgørelser kan dog indbringes for domstolene, jf. grundlovens § 63.
Datatilsynet anser hermed sagen med j.nr. 2023-432-0003 for afsluttet. Datatilsynet imødeser imidlertid at modtage uddybende oplysninger om eventuelle lignende brud, jf. ovenfor.
[1] Sagen havde tidligere dette j.nr. hos Datatilsynet: 2021-432-0063.
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[3] Datatilsynets sag med j.nr. 2020-432-0037.
[4] Datatilsynets sag med j.nr. 2020-432-0037.
[5] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[6] I forhold til brudanmeldelsen, der om muligt skal fremsendes senest 72 timer efter, Familieretshuset er blevet bekendt med bruddet, jf. databeskyttelsesforordningens artikel 33.
[7] Det bemærkes, at hændelsestidspunktet for bruddet ikke nødvendigvis er sammenfaldende med anmeldelsestidspunktet. Det kan ligge kortere eller længere tid forud for anmeldelsestidspunktet alt afhængig af, om der er gået lang tid, før bruddet er opdaget, samt hvor hurtigt det er anmeldt til Datatilsynet.