Journalnummer: 2008-631-0041
Datatilsynet er ved en henvendelse fra en borger blevet opmærksomt på, at Totalkredit A/S (Totalkredit) har fremsendt årsopgørelser, der er modtageren uvedkommende. Af årsopgørelserne fremgår oplysninger om navn, adresse, personnummer samt oplysninger om låneforhold.
Ved brev af 16. april 2008 er Totalkredit fremkommet med en udtalelse, der er præciseret ved telefonsamtale af 30. april 2008.
Sagsfremstilling
Det fremgår herefter af sagen, at Totalkredit ved udsendelse af årsopgørelser for 2007 har benyttet databehandlere, herunder e-boks A/S (e-boks) og Strålfors Information Logistics A/S (Strålfors).
Det fremgår endvidere, at der fra e-boks blev afvist 75 elektroniske filer indeholdende årsopgørelser for 2007. Filerne kom retur til Strålfors, som stod for print og udsendelse af Totalkredits årsopgørelser for 2007. De afviste filer tilgik en funktion for tilpasning til det valgte printformat, hvorefter årsopgørelserne blev printet og kuverteret.
Det er nærmere oplyst, at årsopgørelserne er kuverteret uden datakontrol af det færdige produkt, ligesom der ikke var sikre læsemærker på produktet. Det er således oplyst, at normale kontroller og sikkerhedsfunktioner ikke er blevet iagttaget. Det er desuden oplyst, at det efterfølgende er konstateret, at fejlen omhandler hele jobbet.
Det er endvidere oplyst, at funktionen, som har udført opgaven, har fået instruks om ikke at udføre denne opgavetype, før et kursus vedrørende flow for transaktionsprint, kontrol og egenkontrol ved omgang med personoplysninger er blevet gennemført. Det er desuden oplyst, at fejlen ikke vil gentage sig.
Det er endeligt oplyst, at Totalkredit pr. brev har kontaktet 74 af de 75 personer, om hvem der er udsendt oplysninger til uvedkommende. Den sidste berørte modtager har Totalkredit været i telefonisk dialog med. Af brevskabelonen, som Totalkredit har fremsendt til Datatilsynet fremgår, at der er orienteret om, at den udsendte årsopgørelse var forkert. Meddelelsen indeholder imidlertid ikke oplysning om, at der har været en sikkerhedsbrist, som har medført, at kundens oplysninger er gjort tilgængelige for uvedkommende.
Datatilsynet skal udtale:
Relevante regler i persondataloven
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.
I lovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
I lovens § 3, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
Datatilsynet finder på baggrund af det, som er oplyst til sagen, at Strålfors er databehandler for Totalkredit, idet Strålfors udførte en opgave med udsendelse af årsopgørelser for 2007 på vegne af Totalkredit. Det er således Datatilsynets opfattelse, at Totalkredit er dataansvarlig for den skete udsendelse af oplysninger til uvedkommende.
Datatilsynet finder sikkerhedsbristen kritisabel
Datatilsynet finder på baggrund af det oplyste, at Totalkredit ved udsendelsen ikke har levet op til kravene i persondatalovens § 41, stk. 3, om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab.
Datatilsynet finder det passerede kritisabelt.
Datatilsynet har imidlertid noteret sig det oplyste om, at fejlen ikke vil gentage sig, samt det oplyste om de tiltag, der er gjort for at forhindre lignende fejl fremover.
Underretning af de berørte personer
Hvis en virksomhed som følge af en sikkerhedsbrist har gjort kundeoplysninger tilgængelige for uvedkommende, vil det – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel i § 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed skal underrette de berørte personer.
Datatilsynet finder, at omstændighederne i denne sag fører til, at Totalkredit skal informere de berørte personer om sikkerhedsbristen, herunder at oplysninger om deres kundeforhold er sendt til uvedkommende.
Datatilsynet har herved lagt vægt på, at de oplysninger, som er sendt til uvedkommende omfatter navn, adresse, personnummer samt oplysninger om låneforhold. Der er således tale om ganske omfattende oplysninger, og det kan efter tilsynets opfattelse ikke udelukkes, at det skete kan have konkrete konsekvenser for de berørte.
Datatilsynet skal på denne baggrund anmode Totalkredit om at informere de berørte i overensstemmelse med det ovenfor angivne.
Det skal endvidere for god ordens skyld oplyses, at Datatilsynet forventer at informere om sagen på sin hjemmeside.
Datatilsynet skal anmode Totalkredit om inden 4 uger fra dags dato at oplyse, hvad virksomheden vil foretage sig i anledning af Datatilsynets afgørelse.
Datatilsynet afventer herefter svar fra Totalkredit.
-------------------
Totalkredit har efterfølgende oplyst til Datatilsynet, at virksomheden har informeret de berørte kunder. Datatilsynet har noteret sig det oplyste, og foretager sig herefter ikke yderligere i sagen