Journalnummer: 2008-216-0253
Datatilsynet blev den 17. december 2008 opmærksom på, at der på Copenhagen Business School's (CBS) intranet blev videregivet personoplysninger i form af bl.a. fulde navne og personnumre på studerende.
Forinden havde Datatilsynet den 16. juni 2008 afsluttet en sag om en tidligere sikkerhedsbrist, hvor CBS havde lagt et antal studerendes personnumre ud på CBS' intranet.
Datatilsynet anmodede ved brev af 22. december 2008 CBS om en udtalelse i sagen.
Ved brev af 2. februar 2009 er CBS fremkommet med en udtalelse.
Det fremgår herefter af sagen, at CBS har lagt oplysninger om studerendes navne og personnumre ud på CBS' intranet.
CBS har oplyst, at ca. 110 studerende har haft benyttet det forum på intranettet, hvor oplysningerne var tilgængelige.
Endvidere har CBS oplyst, at CBS har lukket det forum på intranettet, hvor oplysningerne var tilgængelige.
CBS har desuden oplyst, at de berørte studerende vil modtage en undskyldning fra CBS.
CBS har oplyst, at CBS på baggrund af Datatilsynets henvendelse har indskærpet over for sine ansatte, at persondatalovens regler til enhver tid skal overholdes, men CBS har ikke udarbejdet en generel vejledning for behandling af personoplysninger.
Endelig har CBS oplyst, at CBS, overfor den underviser, som har videregivet oplysningerne på intranettet, vil understrege, at noget lignende ikke må gentage sig.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Det følger af lovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf bl.a. fremgår, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysninger.
Det er Datatilsynets opfattelse, at en sikring af at personoplysninger ikke uberettiget gøres tilgængelige på et intranet, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for omfattende videregivelse af fortrolige eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens eller virksomhedens systemer.
Datatilsynet finder det skete kritisabelt
I det konkrete tilfælde, hvor studerendes personnumre på ny er blevet lagt ud på en side på CBS's intranet, som ca. 110 studerende ifølge det oplyste har haft adgang til, finder Datatilsynet ikke, at CBS har udvist den fornødne omhu.
Datatilsynet har tidligere, i en sag hvor CBS lagde oplysninger om studeren-des personnumre på CBS intranet, udtalt at det passerede var meget beklageligt. I den anledning udtalte CBS, at CBS ville udarbejde en vejledning og en handlingsplan til sikring af, at alle medarbejdere modtager den fornødne instruktion. Dette har CBS imidlertid ikke gjort.
På denne baggrund finder Datatilsynet det gentagne brud på persondatalovens § 41, stk. 3 kritisabelt.
Under henvisning hertil - samt den omstændighed at der er tale om gentagne tilfælde, og at CBS ikke har foretaget den lovede opfølgning på den første sikkerhedsbrist - vil Datatilsynet rette henvendelse til Ministeriet for Videnskab, Teknologi og Udvikling i anledning af denne sag samt lignende sager med sikkerhedsbrister på andre universiteter.
Datatilsynet har noteret sig, at CBS straks har fjernet oplysningerne fra siden på intranettet, og at CBS har lukket forummet ned.
Med hensyn til forholdsregler for at sikre, at dette ikke sker igen, har CBS efter det oplyste endvidere ikke i udarbejdet en vejledning og en handlingsplan, således som det tidligere blev oplyst ville ske.
Datatilsynet skal derfor anmode CBS om at meddele tilsynet, hvornår CBS forventer at udarbejde omtalte vejledning og handlingsplan, samt hvilke skridt CBS i øvrigt måtte finde anledning til at foretage som opfølgning på sikkerhedsbristen. Svaret bedes være Datatilsynet i hænde senest 1. juli 2009.
Datatilsynet skal endvidere opfordre til, at problemet med utilsigtet offentliggørelse af personoplysninger generelt tages op på CBS. Det er Datatilsynets umiddelbare vurdering, at problemerne ikke kan løses alene ved at informere.
Datatilsynet skal pege på muligheden af at begrænse anvendelsen af fortrolige personoplysninger - herunder personnumre - således at disse oplysninger slet ikke er tilgængelige for andre end nogle få centrale medarbejdere, og således at der f.eks. anvendes et studienummer, som ikke er identisk med den studerendes personnummer.
Underretning af de registrerede
Hvis oplysninger ved en fejl gøres tilgængelige i strid med loven, skal den dataansvarlige gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5.
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Datatilsynet har noteret sig det oplyste om, at CBS skriftligt vil underrette de berørte om det passerede. Tilsynet skal i den forbindelse anmode CBS om at indsende en kopi af underretningen til Datatilsynet
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
Kopi af dette brev sendes til Ministeriet for Videnskab, Teknologi og Udvik-ling.