Journalnummer: 2007-313-0036
Datatilsynet blev den 8. december 2006 på baggrund af en henvendelse fra en borger gjort opmærksom på, at Gladsaxe Kommune havde offentliggjort oplysninger om et personnummer på kommunens hjemmeside.
Datatilsynet kontaktede den 21. december 2006 Gladsaxe Kommune telefonisk. Gladsaxe Kommune oplyste i den forbindelse, at den offentliggjorte talrække (elleve cifre) ikke var et personnummer, men at de sidste fire cifre svarede til den registreredes personnummer, hvorfor nummeret straks ville blive fjernet fra hjemmesiden. Det blev endvidere aftalt, at Gladsaxe Kommune ville undersøge sagen nærmere og vende tilbage over for tilsynet.
Ved brev af 5. januar 2007 til Datatilsynet er Gladsaxe Kommune fremkommet med en udtalelse i sagen.
Det fremgår bl.a. heraf, at Gladsaxe Kommune den 6. december 2006 ved en fejl var kommet til at offentliggøre elleve cifre, der indeholdt ti cifre fra et konkret personnummer, på kommunens åbne postliste på Gladsaxe Kommunes hjemmeside. Fejlen var ifølge det oplyste et hændeligt uheld, som skyldes en menneskelig fejl. Gladsaxe Kommune beklagede fejlen, som blev rettet i samme øjeblik, den kom til kommunens kendskab – dvs. straks efter Datatilsynets telefoniske henvendelse.
Det oplyses endvidere, at kommunen i januar 2006 har revideret sikkerhedsreglerne for omgang med følsomme personoplysninger. Reglerne er tilgængelige for alle administrative medarbejdere via kommunens intranet. Derudover har alle medarbejdere, der i særlig grad arbejder med følsomme oplysninger, modtaget retningslinierne direkte i form af en huskeliste til opslagstavlen.
Kommunen mener, på baggrund af de reviderede sikkerhedsregler, at alle medarbejdere er grundigt orienteret om den særlige forpligtelse til ansvarsfuld omhyggelighed, det kræver at arbejde med fortrolige og følsomme oplysninger. Kommunen finder derfor ikke, at der vil være grund til at iværksætte yderligere tiltag i forbindelse med det passerede.
Datatilsynet skal herefter udtale følgende:
Det følger af persondatalovens § 1, at loven bl.a. gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling.
Det følger endvidere af lovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelses § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
I det konkrete tilfælde, hvor elleve cifre – der indeholdt ti cifre fra et personnummer – er blevet offentliggjort, finder Datatilsynet ikke, at Gladsaxe Kommune har udvist den fornødne omhu, og kommunen har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3.
Gladsaxe Kommune har i april 2005 og januar 2006, på grund af tilsvarende fejl, offentliggjort fortrolige og følsomme oplysninger på hjemmesiden, hvilket Datatilsynet i en udtalelse af 10. maj 2005 fandt meget beklageligt, og i en udtalelse af 24. februar 2006 fandt kritisabelt.
Datatilsynet noterede sig i forbindelse med sine tidligere udtalelser kommunens oplysninger om, at kommunen ville arbejde for at undgå lignende fejl, og at kommunen havde udformet nye reviderede sikkerhedsregler for omgang med følsomme oplysninger.
Ifølge det oplyste er sikkerhedsreglerne revideret som planlagt, og medarbejderne er orienteret herom.
Trods de gennemførte tiltag kan Datatilsynet konstatere, at der nu flere gange inden for et kortere tidsrum er offentliggjort fortrolige personoplysninger på kommunens hjemmeside.
Datatilsynet finder dette meget kritisabelt. Datatilsynet har derfor også fundet grundlag for at underrette byrådet i Gladsaxe Kommune om, at persondataloven ikke er overholdt.
Datatilsynet har i den forbindelse anmodet om underretning om, hvorvidt det passerede giver byrådet anledning til at overveje kommunens praksis med hensyn til offentliggørelse af personoplysninger på kommunens hjemmeside.
Til orientering kan det oplyses, at Datatilsynet forventer at omtale sagen på sin hjemmeside.