Journalnummer: 2007-632-0001
Datatilsynet blev den 5. januar 2007, på baggrund af en henvendelse fra en borger opmærksom på, at Aarhus Universitet havde offentliggjort personnumre på en række studerende via universitetets e-læringsplatform.
Datatilsynet kontaktede samme dag, telefonisk, Aarhus Universitet og opfordrede til, at personnumrene hurtigst muligt blev fjernet fra universitetets e-læringsplatform og internettet. Det blev aftalt, at Aarhus Universitet, som allerede var blevet gjort bekendt med problemet af to studerende, straks ville iværksætte en sletning af oplysningerne samt undersøge sagen nærmere.
Ved e-postmeddelelser af 5. januar og 15. januar 2007, til Datatilsynet, har Aarhus Universitet nærmere redegjort for sagen.
Aarhus Universitet har oplyst, at der, på universitetets e-læringsplatform, har været offentliggjort fire dokumenter indeholdende personnumre. I alt har offentliggørelsen omfattet 90 personers personnumre.
Af de fire dokumenter var to indlagt af en studerende, ét indlagt af en ekstern underviser og ét af en IT-medarbejder ved universitetet.
Aarhus Universitet har endvidere oplyst, at dokumenterne var slettet fra e-læringsplatformen den 5. januar ca. klokken 15.00. Universitetet har samme dag iværksat tiltag for at forhindre, at der sker robotindeksering af oplysningerne samt anmodet Google om straks at slette cachen for så vidt angår de hits som kunne findes ved en personnummersøgning på universitetets e-æringsplatform. Google meddelte den 6. januar 2007 universitetet, at alle lagrede oplysninger var slettet fra søgemaskinen i overensstemmelse med universitetets anmodning. Universitetet har efterfølgende gennemført seks forskellige søgninger efter personnumre og årskortnumre, på diverse søgemaskiner, uden kompromitterende resultater.
For at forhindre at en lignende offentliggørelse kan finde sted i fremtiden, har Aarhus Universitet oplyst, at der den 8. januar 2007 er udsendt en skrivelse til alle kursusadministratorer med konto på e-læringsplatformen. I skrivelsen redegøres for nærværende sag, og det indskærpes, at der blandt andet ikke må forekomme personnumre i dokumenter, der indlægges i e-læringsplatformen.
Der henvises i skrivelsen tillige til de allerede eksisterende regler og vejledninger om sensitive data på platformen og universitetets intranet. Universitetet har herudover oplyst, at vejledningsmateriale til både studerende, undervisere og administratorer vil blive præciseret. Endelig har universitet oplyst, at der fremover vil blive foretaget en periodisk stikprøvekontrol af forekomsten af personnumre på e-læringsplatformen.
Aarhus Universitet har afslutningsvist beklaget offentliggørelsen, og har orienteret de to personer, der indledningsvist henledte universitetets opmærksomhed på sagen, om hvilke tiltag der er iværksat. Universitet har i den forbindelse endvidere oplyst, at det fortsat overvejes hvorledes de øvrige berørte personer bedst informeres om sagen.
Datatilsynet skal herefter udtale følgende:
Det følger af persondatalovens § 1, at loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Det følger endvidere af lovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelses § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
I det konkrete tilfælde, hvor 90 personers personnumre er blevet offentliggjort, finder Datatilsynet ikke, at Aarhus Universitet har udvist den fornødne omhu, og universitetet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Datatilsynet har noteret sig, at Aarhus Universitet straks har fjernet oplysningerne fra e-læringsplatformen og har taget initiativ til at oplysningerne slettes fra eventuelle søgemaskiner på internettet. Universitetet har endvidere beklaget det passerede.
Datatilsynet har tillige noteret sig, at universitetet har iværksat foranstaltninger for at undgå en lignende offentliggørelse i fremtiden, samt at universitetet har til hensigt at underrette de berørte om det passerede.
Datatilsynet foretager sig herefter ikke yderligere i sagen.