Journalnummer: 2009-632-0046
Datatilsynet blev den 16. marts 2009, på baggrund af en henvendelse fra en borger, opmærksom på, at Københavns Universitet havde offentliggjort bl.a. personnumre på 25 studerende på en holdliste, der var frit tilgængelig via internettet. Forinden havde Datatilsynet den 22. januar 2009 afgivet udtalelse i anledning af en lignende sikkerhedsbrist hos Københavns Universitet.
Datatilsynet kontaktede den 19. marts. 2009 Københavns Universitet telefonisk og opfordrede til, at personnumre hurtigst muligt blev fjernet fra internettet, herunder Googles cache. Det blev aftalt, at Københavns Universitet straks ville iværksætte en sletning af oplysningerne samt undersøge sagen nærmere.
Ved e-post af 7. maj 2009 er Københavns Universitet fremkommet med en udtalelse i sagen.
Københavns Universitet har oplyst, at der på universitetets hjemmeside er en online-tilmelding, hvor de studerende kan tilmelde sig kurser. Efter udløbet af ansøgningsfristen genereres automatisk en holdtilmeldingsliste. Den automatisk genererede liste indeholder ikke personnumre.
Om den konkrete sag har Københavns Universitet oplyst, at der i efteråret 2008 var sket en fejl i en af de automatisk genererede holdlister. Det ansvarlige institut, henhørende under Det Humanistiske Fakultet, valgte derfor i stedet at offentliggøre en holdliste, som almindeligvis bruges til eksamensregistrering. Holdlisten, der indeholdt maskerede personnumre, var lagret som en pdf-fil. Ved Konvertering af pdf-filen til et andet format forsvandt maskeringen af personnumrene imidlertid.
Københavns Universitet har oplyst, at det ansvarlige institut først i foråret 2009 blev opmærksom på sikkerhedsbristen. På dette tidspunkt var holdlisten, der gjaldt for efteråret 2008, taget af hjemmesiden, men en cached version var stadig tilgængelig via Google. Det Humanistiske Fakultet kontaktede senere, efter henvendelsen fra Datatilsynet, Google, og den 26. marts 2009 var den cachede version ikke længere tilgængelig. Instituttet gik i den forbindelse samtlige relevante sider igennem på instituttets hjemmeside for at sikre, at der ikke uberettiget var offentliggjort personoplysninger andre steder på disse.
Københavns Universitet har endvidere oplyst, at den centrale sikkerhedsorganisation på universitetet, ISMS, foretager en periodisk stikprøvekontrol på såvel internet som intranet for at sikre overholdelsen af gældende regler, lige-som organisationen sikrer, at de gældende sikkerhedsregler informeres videre til de lokale ansvarlige for informationssikkerhed.
For at forhindre en lignende offentliggørelse kan finde sted i fremtiden, har Københavns Universitet oplyst, at der den 2. april 2009 er afholdt et møde ved det ansvarlige institut, hvor den utilsigtede offentliggørelse er gennemgået.
Hvad angår resten af universitetet, har Københavns Universitet oplyst, at universitet løbende afholder kampagner for at sikre, at brugere gøres opmærksom på god adfærd ved brug af internettet og intranettet og om omgangen med oplysninger, herunder personfølsomme oplysninger. I forbindelse hermed gøres brugere opmærksomme på gældende love og regler.
For at sikre, at de relevante ansatte har den fornødne instruktion, giver de føromtalte lokale ansvarlige løbende de ansatte fornøden instruktion. I det konkrete tilfælde er dette sket ved mødet den 2. april 2009. Herudover indgår der i undervisningen af webredaktører også information om gældende regler og retningslinjer for offentliggørelse af oplysninger på internettet og bl.a. også Datatilsynets anbefalinger m.m.
Københavns Universitet har endvidere oplyst, at der på det kommende centrale informationssikkerhedsudvalgs møde vil blive behandlet, hvilke tiltag der kan sikre mod at fremtidige uberettigede offentliggørelser modvirkes eller helt undgås.
Københavns Universitet har afslutningsvist beklaget offentliggørelsen, og har orienteret de 25 studerende skriftligt om den skete offentliggørelse. I den forbindelse har universitetet vedlagt en kopi af den skrivelse, Universitetet har udsendt til de pågældende studerende.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Ifølge persondatalovens § 41, stk. 3, skal der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedernes systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf bl.a. fremgår, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysninger.
Det er Datatilsynets opfattelse, at en sikring af at personoplysninger ikke uberettiget gøres tilgængelige på internettet, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet finder offentliggørelsen meget beklagelig
I det konkrete tilfælde, hvor 25 personers personnumre er blevet lagt ud på en internetside, finder Datatilsynet ikke, at Københavns Universitet har udvist den fornødne omhu. Universitetet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.
Datatilsynet skal hermed også henvise til at offentliggørelse af oplysninger om personnumre og lignende vil kunne få alvorlige konsekvenser for de berørte personer.
Under henvisning hertil - og i lyset, at der er tale om gentagne tilfælde af offentliggørelse af personoplysninger - forventer Datatilsynet at rette henvendelse til Ministeriet for Videnskab, Teknologi og Udvikling i anledning af denne og lignende sager med sikkerhedsbrister på andre universiteter.
Københavns Universitet har oplyst, at man på et kommende møde i det centrale informationssikkerhedsudvalg - ISU - vil behandle problemet.
I den tidligere sag havde Københavns Universitet oplyst, at der orienteres grundigt om behandling af personoplysninger, ligesom siderne på universitetets hjemmeside løbende kontrolleres for at overholde reglerne.
Da den nye sikkerhedsbrist tyder på, at de hidtidige tiltag ikke er tilstrækkelige, skal Datatilsynet opfordre Københavns Universitet til at tage yderligere initiativer til imødegåelse af problemet. Det er Datatilsynets umiddelbare vurdering, at problemerne ikke kan løses alene ved at informere. Datatilsynet lægger hermed vægt på, at Københavns Universitet er en institution, hvor mange oplysninger offentliggøres på internettet.
Datatilsynet skal pege på muligheden af at begrænse anvendelsen af fortrolige personoplysninger - herunder personnumre - således at disse oplysninger slet ikke er tilgængelige for andre end nogle få centrale medarbejdere, og således at der f.eks. anvendes et studienummer, som ikke er identisk med den studerendes personnummer. Herudover skal Datatilsynet foreslå, at Københavns Universitet overvejer at etablere en teknisk løsning, der holder øje med fortrolige oplysninger (navnlig personnumre) og blokerer for offentliggørelsen af disse.
Datatilsynet skal anmode Københavns Universitet om at underrette tilsynet om, hvad der videre sker i sagen.
Underretning af de berørte personer og sletning fra Google
Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet" .
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider og i givet fald sørge for, at oplysningerne fjernes derfra.
Datatilsynet har noteret sig det oplyste om, at Københavns Universitet straks efter henvendelsen fra tilsynet har kontaktet Google og har fået fjernet den cachede version af holdlisten.
Datatilsynet har desuden noteret sig, at universitetet har underrettet de berørte om det passerede.
Datatilsynet afventer tilbagemelding fra Københavns Universitet
Datatilsynet afventer herefter en tilbagemelding fra Københavns Universitet om, hvad der videre sker i sagen.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.
Kopi af dette brev sendes til Ministeriet for Videnskab, Teknologi og Udvikling.