Journalnummer: 2008-632-0030
Ved e-post af 1. april 2008 fremsendte Datatilsynet et brev til Ministeriet for Flygtninge, Indvandrere og Integration vedrørende en sikkerhedsbrist på hjemmesiden www.nyidanmark.dk med henblik på, at Ministeriet for Flygtninge, Indvandrere og Integration skulle komme med en udtalelse.
Ved brev af 21. april 2008 har Ministeriet for Flygtninge, Indvandrere og Integration redegjort nærmere for sagen.
Det fremgår herefter af sagen, at der i oktober 2007 etableredes en afgørelsesdatabase på internetportalen www.nyidanmark.dk, hvor 84 udvalgte afgørelser og 18 praksisnotater, der illustrerer praksis på udlændingeområdet, blev offentliggjort.
Disse afgørelser skal være anonymiserede, så det ikke er muligt at identificere de enkelte personer, som afgørelserne omhandler, således at tavshedspligten ikke krænkes.
På baggrund af Datatilsynets henvendelse har Ministeriet for Flygtninge, Indvandrere og Integration gennemgået de offentliggjorte afgørelser i databasen og konstateret, at der er tale om fem afgørelser, hvor det er muligt at identificere de i sagerne omtalte personer.
Ministeriet for Flygtninge, Indvandrere og Integration har endvidere anført, at disse afgørelser blev slettet den 4. april 2008, og disse kan nu ikke længere findes på hjemmesiden. Dog kan afgørelserne fortsat findes frem via cache-lagrede sider på internettet via søgemaskinen Google, hvis der søges på de i sagerne omtalte personers navne.
Ministeriet for Flygtninge, Indvandrere og Integration har yderligere oplyst, at det har fulgt Datatilsynets retningslinier for utilsigtet offentliggørelse på internettet, herunder kontaktet Google med henblik på, at de pågældende afgørelser slettes fra søgemaskinens cache.
Om sikkerhedsbristens opståen har Ministeriet for Flygtninge, Indvandrere og Integration oplyst, at den eller de medarbejdere, der har anonymiseret de pågældende afgørelser, har 'skjult' de oplysninger, der ikke måtte offentliggøres, med hvid frem for at slette dem, og derefter konverteret dokumenterne til PDF. Dette har således betydet, at teksten, der ikke er umiddelbart synlig, kan læses ved at kopiere teksten og sætte den ind i et andet dokument.
De omtalte fem afgørelser blev lagt på hjemmesiden den 28. september 2007.
For at undgå lignende sikkerhedsbrister i fremtiden har Ministeriet for Flygtninge, Indvandrere og Integration over for redaktionskomitéen, der udvælger og anonymiserer afgørelser, gjort specifikt opmærksom på, at tekst, der ikke skal kunne læses, skal slettes i afgørelserne, inden Word-filerne konverteres til PDF og offentliggøres i afgørelsesdatabasen.
Ministeriet for Flygtninge, Indvandrere og Integration har endvidere oplyst, at de medarbejdere, der udvælger og anonymiserer afgørelserne, alle tidligere er blevet instrueret i, hvordan afgørelser skal anonymiseres inden offentliggørelse i afgørelsesdatabasen. Denne instruktion sker i form af en udarbejdet vejledning, der beskriver fremgangsmåden og godkendelsesproceduren trin for trin.
Afslutningsvis har Ministeriet for Flygtninge, Indvandrere og Integration anført, at de berørte personer endnu ikke er blevet orienteret om den utilsigtede offentliggørelse af deres sager på internettet, men at de pågældende vil blive underrettet i den nærmeste fremtid.
Ministeriet for Flygtninge, Indvandrere og Integration bemærker endelig, at det i august 2007 har anmeldt afgørelsesdatabasen til Datatilsynet, hvilket også fremgår af Datatilsynets hjemmeside.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet finder offentliggørelsen meget beklagelig
Datatilsynet kan konstatere, at Ministeriet for Flygtninge, Indvandrere og Integration har offentliggjort 5 afgørelser, hvor det har været muligt at identificere de i sagerne omtalte personer.
I det konkrete tilfælde, hvor følsomme personoplysninger om mindst 5 personer er blevet offentliggjort, finder Datatilsynet, at Ministeriet for Flygtninge, Indvandrere og Integration ikke har udvist den fornødne omhu, og Ministeriet for Flygtninge, Indvandrere og Integration har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Datatilsynet har noteret sig det oplyste om de skridt, der bliver taget for at undgå lignende sikkerhedsbrister i fremtiden.
Underretning af de berørte personer og sletning fra Google
Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra.
Datatilsynet har noteret sig det oplyste om, at de berørte personer vil blive underrettet.
Datatilsynet har endvidere noteret sig oplysningerne om ministeriets kontakt med Google med henblik på at få fjernet oplysningerne der.
Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på Datatilsynets hjemmeside.