Journalnummer: 2009-219-0287
På baggrund af en henvendelse fra en borger blev Datatilsynet gjort opmærksom på, at der på internetsiden […….] er offentliggjort en række personoplysninger, og Datatilsynet anmodede i denne forbindelse Søndagsavisen om en udtalelse ved brev af 10. marts 2009.
Datatilsynet anmodede om at få oplyst, om der er tale om data om brugere på et af Søndagsavisens sites, herunder om der er tale om en sikkerhedsbrist ved Søndagsavisen, og hvad der i givet fald er gjort for at afhjælpe sikkerhedsbristen.
Søndagsavisen er ved brev af 17. marts 2009 fremkommet med en udtalelse i sagen.
Søndagsavisen udtalelse
Søndagsavisen har oplyst, at der er tale om data om brugere af Søndagsavisen.dks mailservice (tidligere Ofir og FORUM.dk).
Søndagsavisen har endvidere oplyst, at det ikke kan afvises, at der i 2005-2006 kan have været en sikkerhedsbrist, bestående i muligheder for SQL injections.
Ifølge Søndagsavisen stammer dataene muligvis fra et lokalnet i Maribo.
For at afhjælpe bristen har Søndagsavisen i januar 2009 gennemført et IT-projekt med henblik på at lukke alle sikkerhedshuller. IT-projektet blev afsluttet i første uge af februar 2009, og alle huller i den af Søndagsavisen udbudte mailservice er ifølge det af Søndagsavisen oplyste blevet lukket.
Endelig har Søndagsavisen oplyst, at der vil blive taget kontakt til alle berørte brugere, så de kan ændre password og eventuelt mailadresse.
Datatilsynet skal herefter udtale følgende:
Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, lige som den dataansvarlige skal sikre sig, at systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Datatilsynet lægger på baggrund af det oplyste til grund, at det som følge af en sikkerhedsbrist hos Søndagsavisen har været muligt at se oplysninger om brugere af Ofirmails fornavn, efternavn, adresse, e-postadresse samt password. Dermed har Søndagsavisen ikke levet op til kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.
Datatilsynet har noteret sig Søndagsavisens redegørelse for, hvilke tiltag der er blevet iværksat for at undgå lignende sikkerhedsbrister i fremtiden.
Efter Datatilsynets opfattelse må Søndagsavisen endvidere søge at få fjernet oplysningerne fra den pågældende hjemmeside, […….], hvor de fortsat er tilgængelige, samt fra Google, hvor oplysningerne fortsat er cachede.
Datatilsynet skal anmode om at blive orienteret om, hvad der videre sker i forhold til de offentliggjorte oplysninger.
Underretning af de berørte personer
Hvis en virksomhed ved en fejl er kommet til at gøre oplysninger tilgængelige på internettet i strid med loven, skal virksomheden gøre hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet".
Hvis de berørte personer ikke allerede ved, at Deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Datatilsynet har noteret sig det oplyste om, at Søndagsavisen vil tage kontakt til de brugere, som er berørt af sikkerhedsbristen, så de kan ændre deres password og eventuelt e-mailadresse.
Datatilsynet går ud fra, at informationen vil indeholde oplysninger om, at de berørte personers oplysninger i et stykke tid har været - og fortsat er - tilgængelige på internettet.
Datatilsynet anmoder om at modtage kopi af den meddelelse, der vil blive sendt.
Datatilsynet skal anmode Søndagsavisen om svar senest den 1. juli 2009.
Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på www.datatilsynet.dk med udeladelse af adressen på den omhandlede hjemmeside.