Journalnummer: 2009-631-0072
Datatilsynet blev i marts 2009 opmærksom på, at der var offentliggjort personoplysninger fra Patientforsikringen.
Ved brev af 7. april 2009 med tilhørende bilag er Patientforsikringen efter anmodning fra Datatilsynet fremkommet med en udtalelse.
Det fremgår herefter af sagen, at der på Patientforsikringens hjemmeside har været 4 Excelark tilgængelige indeholdende medicinske registreringer, herunder blandt andet helbredsoplysninger og personnumre, på 19.531 patienter for årene 2005 - 2008.
Patientforsikringen har oplyst, at de pågældende Excelark den 25. marts 2009 kl. 10.16 - 10.17 blev uploadet til Patientforsikringens hjemmeside.
Oplysningerne bliver efter det oplyste fjernet den 27. marts 2009 kl. 12.25.
Patientforsikringen har oplyst, at årsagen til den utilsigtede offentliggørelse dels beror på en personlig fejl, dels på at selskabet ikke har truffet de fornødne forholdsregler forud for offentliggørelsen, i det der ikke var sket en tilstrækkelig instruktion af den administrative medarbejder, der forestod offentliggørelsen på hjemmesiden.
Patientforsikringen har herudover oplyst, at Patientforsikringen i forbindelse med det passerede og indtil videre har fjernet alle medicinske registreringer fra organisationens hjemmeside. Patientforsikringen har undersøgt, om der på organisationens hjemmeside, måtte være sket andre utilsigtede offentliggørelser af personoplysninger. Slutteligt har Patientforsikringen sikret sig, at de omtalte personoplysninger ikke er tilgængelige via søgemaskiner. Det er i den forbindelse oplyst, at der frem til den 1. maj 2009 sker en løbende sikring heraf.
Patientforsikringen har yderligere oplyst, at adgangen til at generere oplysninger, indeholdende personnummer og navn, via SQL Reporting Services indtil videre er fjernet, og adgang hertil sker efter fremsættelse af konkret begrundet anmodning over for administrationschefen. Endelig er der udsendt et cirkulære, som pålægger kommunikationschefen eller en delegeret medarbejder at kontrollere, at personoplysninger ikke utilsigtet offentliggøres. Datatilsynet har modtaget 2 administrative cirkulærer, som Patientforsikringen har udformet som følge af sagen.
Patientforsikringen har oplyst, at der tidligst den 1. juli 2009 vil være ekstern adgang til anonymiserede dataark fra hjemmesiden. Disse vil ikke længere indeholde hverken oplysninger om tildelt journalnummer eller et i de fremsendte bilag anført bemærkningsfelt.
Vedrørende oplysning til de berørte borgere er følgende oplyst:
Den 29. marts 2009 har Patientforsikringen offentliggjort en beklagelse af det passerede på organisationens hjemmeside. Beklagelsen er sket med reference til en offentliggjort artikel i Ekstra Bladet af samme dato.
Denne fremgangsmåde er efter det oplyste valgt frem for underretning ved personlig henvendelse under hensyn til:
- at de offentliggjorte oplysninger ikke indeholdt andre identifikationsoplysninger end personnumre, der kan henføre oplysningerne til de berørte,
- at oplysninger alene lå tilgængelige på hjemmesiden i kort tid,
- at oplysninger om patienter, herunder helbredsoplysninger og personnumre, for årene 2005 og 2006, i alt 9.325 personer, alene har været åbnet af en journalist ved Ekstra Bladet, som er ansvarlig for behandlingen af de oplysninger, han måtte ligge inde med,
- at oplysninger om patienter for årene 2007 og 2008, i alt 10.206 personer, alene har været åbnet af 3 dynamiske adresser,
- at det ikke har været muligt at genfinde oplysningerne, og
- at det ville være et uforholdsmæssigt stort arbejde at underrette 19.531 eller 10.206 personer
Datatilsynet skal udtale følgende:
Relevante regler i persondataloven
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at organisationens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af organisationens systemer.
Datatilsynet finder det skete meget beklagelig
Datatilsynet kan konstatere, at Patientforsikringen har tilgængeliggjort 4 Excelark indeholdende personoplysninger på patienter registreret i årene 2005 - 2008. Af Excelarkene fremgår blandt andet helbredsoplysninger og personumre på 19.531 patienter.
Offentliggørelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.
I det konkrete tilfælde, hvor helbredsoplysninger og personnumre er blevet offentliggjort, finder Datatilsynet ikke, at Patientforeningen har udvist den fornødne omhu, og at Patientforeningen dermed ikke har overholdt kravene efter § 41, stk. 3. Under henvisning til offentliggørelsens omfang finder Datatilsynet, at der er tale om en alvorlig og uacceptabel sikkerhedsbrist.
Datatilsynet kan samtidigt konstatere, at Patientforsikringen har handlet øjeblikkeligt og har foretaget alle nødvendige skridt som følge af det skete.
Datatilsynet finder samlet set det skete meget beklageligt.
Datatilsynet har således noteret sig Patientforeningens oplysninger om de skridt, der påtænkes taget, herunder begrænset adgang til følsomme oplysninger, fjernelse af visse oplysningstyper, samt at der er udsendt interne cirkulæ-rer med procedurer og kontroller for at undgå en lignende offentliggørelse i fremtiden.
Underretning af de berørte personer og sletning fra Google
Hvis en organisation ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal organisationen gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet" .
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af organisationens sider og i givet fald sørge for, at oplysningerne fjernes derfra. I den konkrete sag har der efter det oplyste ikke været tale om registrering i Google.
Datatilsynet har noteret sig Patientforeningens redegørelse om organisationens overvejelser og konklusion om at orientere de berørte 19.531 gennem omtale i medierne og på organisationens hjemmeside.
Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.
Datatilsynet skal for en god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.