Journalnummer: 2004-082-0188
Ved brev af 31. januar 2005 rettede Biblioteksstyrelsen henvendelse til Datatilsynet. Biblioteksstyrelsen ønskede bl.a. oplyst, om det i forbindelse med bestilling i bibliotek.dk er korrekt at anvende ikke-krypterede e-mail til fremsendelse af kvittering for afgivne bestillinger indeholdende titel på det bestilte materiale.
Datatilsynet besvarede den 12. juli 2005 Biblioteksstyrelsens forespørgsel. Datatilsynet udtalte bl.a. at ”fremsendelse af elektronisk reserveringsmeddelelser, der indeholder titel og forfatter på det reserverede materiale, kræver kryptering. Dette skyldes, at det er fortrolige oplysninger, som sendes over det åbne internet.”
Biblioteksstyrelsen offentliggjorde Datatilsynets svar med en nyhedstekst om, at kvitteringsmails fjernes i bibliotek.dk efter krav fra Datatilsynet. Der blev ligeledes givet information herom på styrelsens portal bibliotek.dk. Dette har medført en del reaktioner fra bl.a. brugere og pressen.
Biblioteksstyrelsen og Datatilsynet har efterfølgende drøftet problemstillingen og mulige løsningsmodeller.
Sagen er endvidere blevet drøftet på et møde i Datarådet, og Datatilsynet skal herefter udtale følgende:
1. Det er Datatilsynets opfattelse, at oplysninger om, hvilke bøger en borger reserverer og låner på biblioteket, er af fortrolig karakter.
Det er endvidere Datatilsynets opfattelse, at der generelt er behov for at træffe sikkerhedsforanstaltninger, når offentlige myndigheder sender (transmitterer) oplysninger af fortrolig karakter over det åbne internet.
Tilsynet henviser herved til § 14 i Justitsministeriets bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, hvorefter der for den offentlige forvaltning kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. De nærmere krav er omtalt i Datatilsynets sikkerhedsvejledning.
Datatilsynet kan endvidere henvise til foranstaltningerne i forbindelse med eDag2-projektet, hvorefter alle borgere og virksomheder skal have tilbud om at kommunikere digitalt og sikkert med offentlige myndigheder.
2. Elektronisk kvitteringsmeddelelse fra Biblioteksstyrelsens hjemmeside bibliotek.dk og elektronisk reserveringsmeddelelse fra bibliotekerne er en serviceydelse, som det er muligt at benytte sig af for brugere af biblioteker. Der er tale om en serviceydelse rettet mod en stor kreds af befolkningen, og det er indtrykket, at mange borgere i praksis benytter og sætter pris på denne service.
Det er i dag teknologisk muligt at sende og modtage krypterede e-postmeddelelser. Det må imidlertid erkendes, at afsendelse og modtagelse af krypterede e-postmeddelelser endnu ikke er særlig udbredt i befolkningen, hvilket bl.a. kan skyldes, at de aktuelle muligheder for kryptering af mange opleves som mindre brugervenlige.
Datatilsynet finder på den baggrund undtagelsesvist at kunne acceptere, at Biblioteksstyrelsen og bibliotekerne foreløbig i en periode på 5 år fortsætter med at sende elektroniske reserverings- og kvitteringsmeddelelser, der indeholder titel og forfatter på det reserverede materiale, i ikke-krypteret form til de brugere, der ønsker at benytte elektronisk kommunikation med biblioteksvæsenet.
Det er en forudsætning for Datatilsynets vurdering af sagen, at Biblioteksstyrelsen og bibliotekerne i denne periode arbejder på at indføre tekniske løsninger, der generelt højner sikkerhedsniveauet ved transmission af oplysningerne over internettet.
Datatilsynet vil senere sætte sig i forbindelse med Biblioteksstyrelsen med henblik på at følge de foranstaltninger, der iværksættes for at højne sikkerhedsniveauet i denne sammenhæng. Tilsynet følger i øvrigt den generelle teknologiske udvikling med hensyn til sikkerhedsforanstaltninger ved transmission af personoplysninger over internettet.
Hvis der i praksis skulle vise sig konkrete uhensigtsmæssigheder ved den omhandlede løsning set i forhold til de beskyttelseshensyn persondataloven varetager, vil Datatilsynet tage sagen op til fornyet overvejelse.