Journalnummer: J.nr. 2007-632-0016
Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra Aalborg Universitet.
Ved brev af 23. november 2007 anmodede Datatilsynet derfor Aalborg Universitet om en udtalelse. I brevet henviste Datatilsynet til det brev, som tilsynet den 22. november 2007 havde sendt til alle offentlige myndigheder, om at PowerPoint-præsentationer kan gøre personoplysninger tilgængelige på hjemmesider.
Ved brev af 21. januar 2008 har Aalborg Universitet redegjort nærmere for sagen.
Det fremgår herefter af sagen, at Aalborg Universitet har offentliggjort oplysninger om personnumre på studerende på universitetets hjemmeside. Oplysningerne fandtes i en Excel-database, der som sådan var offentliggjort. I dette tilfælde var der således ikke tale om, at oplysningerne lå gemt som en indlejret fil i en PowerPoint-præsentation.
Der var tale om 82 studerende, og oplysningerne omfattede de studerendes personnumre, navne, studieretning, semester, telefonnumre og e-mailadresser. Datatilsynet kunne konstatere, at oplysningerne også var tilgængelige via Google.
Aalborg Universitet har oplyst, at listen ved en fejl blev lagt på universitets hjemmeside i 2005. Den omhandlede en gruppe studerende på Sprog og In-ternational Virksomhedskommunikation. Listen blev fjernet umiddelbart efter, at Aalborg Universitet fik kendskab til fejlen.
Aalborg Universitet har desuden oplyst, at det antages for almindeligt kendt, at brugere af universitets edb-systemer ikke må overtræde loven vedrørende offentliggørelse af registre og ophavsretten. Alle brugere skal underskrive en edb-erklæring, inden der udleveres adgang til systemerne.
Aalborg Universitet erkender, at der i 2005 kunne opstå tvivl om rettigheder og pligter vedrørende brug af universitetets systemer. Derfor etablerede universitetet en bedre tilgængelig viden af disse emner gennem oprettelse af en FAQ, som bl.a. vedrører spørgsmål om ophavsret og registerhåndtering.
Foruden dette tiltag er der også indført et e-learning system. Dette system opererer på en lukket platform, som kun de studerende og tilknyttede lærere kan se. Det er i dag den platform, som lærere og studerende anvender til in-tern kommunikation.
Den omtalte liste blev efter det oplyste anvendt i forbindelse med kommunikation med de studerende på Sprog og International Virksomhedskommunikation for snart 3 år siden. De studerende har efter det oplyste været vidende om listen, og universitetet har valgt ikke at informere yderligere om denne sag, da listen de sidste par år ikke har været relevant.
Afslutningsvis har Aalborg Universitet oplyst, at universitetet ikke har en central kvalitetsafdeling, som kan varetage en gennemgribende gennemgang af universitetets hjemmesider. Derimod er det ved implementeringen af universitetets ikt-sikkerhedsbog i januar 2007 blevet præciseret, hvem der decentralt er ansvarlig for overholdelse af sikkerheden i det decentrale miljø.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet finder offentliggørelsen meget beklagelig
Datatilsynet kan konstatere, at Aalborg Universitet har offentliggjort oplysninger om personnumre på studerende på universitetets hjemmeside.
Der var tale om 82 studerende, og oplysningerne omfattede de studerendes personnumre, navne, studieretning, semester, telefonnumre og e-mailadresser. Oplysningerne har også været tilgængelige via Google.
I det konkrete tilfælde, hvor bl.a. navne, personnumre og e-mailadresser er blevet offentliggjort, finder Datatilsynet, at Aalborg Universitet ikke har udvist den fornødne omhu, og Aalborg Universitet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Offentliggørelse af oplysninger om navne og personnumre vil kunne få alvorlige konsekvenser for de berørte personer.
På den baggrund er det Datatilsynets opfattelse, at der er tale om en uacceptabel tilsidesættelse af hensynet til de registrerede personer.
Aalborg Kommunes undladelse af at gennemgå sine hjemmesider
Aalborg Universitet har ifølge det oplyste ikke iværksat en gennemgang af samtlige universitetets sider for at sikre, at oplysninger om personnumre ikke er offentligt tilgængelige.
Aalborg Universitet har som begrundelse herfor anført, at universitetet ikke har en central kvalitetsafdeling, som kan varetage en gennemgribende gennemgang af universitetets hjemmesider. Derimod er det ved implementeringen af universitetets ikt-sikkerhedsbog i januar 2007 blevet præciseret, hvem der decentralt er ansvarlig for overholdelse af sikkerheden i det decentrale miljø.
Aalborg Universitet har ikke oplyst, om Datatilsynets henvendelse er formidlet til de decentralt ansvarlige.
Datatilsynet har imidlertid ved en søgning i Google relativt enkelt fundet 3 yderligere offentliggjorte Excel filer indeholdende personoplysninger på Aalborg Universitets hjemmeside. Filerne findes på følgende adresser:
www.math.aau.dk/~s0ren/Movies/Downloads/BackUp/CSS/Lars%20Loumann%20Knudsen/Nul%20gradering.xls
www.math.aau.dk/~s0ren/Movies/Downloads/BackUp/CSS/Thomas%20Fisher/Data/tnt5.xls
www.math.aau.dk/~s0ren/Movies/Downloads/BackUp/CSS/Lars%20Loumann%20Knudsen/Ny_udt_meyer%20maj.xls
Den første indeholder så vidt ses oplysninger om ca. 100 personer, herunder personnumre og helbredsoplysninger.
Den anden indeholder så vidt ses oplysninger om ca. 1000 personer, herunder personnumre, navne og helbredsoplysninger.
Den tredje indeholder så vidt ses oplysninger om godt 2.400 personer, herun-der personnumre og helbredsoplysninger og et antal navne, formentlig på læger.
Datatilsynet skal anmode universitetet om straks at undersøge forholdet nærmere og oplyse overfor Datatilsynet, hvad der er foretaget i den anledning.
Datatilsynet gør i den forbindelse opmærksom på, at tilsynet i sit brev af 22. november 2007 til offentlige myndigheder er kommet med en henstilling om øjeblikkelig gennemgang af hjemmesider.
Underretning af de berørte personer og sletning fra Google
Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Efter Datatilsynets opfattelse, skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og
i givet fald sørge for, at oplysningerne fjernes derfra.
Datatilsynet skal anmode Aalborg Universitet om i lyset af ovenstående på ny at vurdere, om der - under en eller anden form - skal ske underretning af de personer, som er berørt af den offentliggørelse, der startede nærværende sag. Herudover bedes det selvstændigt overvejet, hvorvidt der skal ske underretning af de personer, der indgår i de 3 yderligere offentliggørelser, som nu indgår i sagen.
For så vidt angår Google, har Datatilsynet på nuværende tidspunkt ikke umiddelbart kunnet finde den fil, som var årsagen til Datatilsynets høring i november 2007. For så vidt angår de 3 yderligere filer, som kan findes via en søgning i Google, er den første tilsyneladende lagret i en html-udgave i Google.
Datatilsynet skal også anmode om at få oplyst, hvad Aalborg Universitet foretager sig i relation hertil.
Aalborg Universitets svar på ovenstående bedes fremsendt til Datatilsynet senest den 20. juni 2008.
Afsluttende bemærkninger
Datatilsynet afventer herefter svar fra Aalborg Universitet.
Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.