Sikkerhedsbrist i forbindelse med Statens Serum Instituts videregivelse af PowerPoint præsentation

Dato: 28-05-2009

Journalnummer: 2008-632-0035

I maj måned 2008 blev Datatilsynet gjort opmærksom på, at det på Danmarks Tekniske Universitets server www.cbs.dtu.dk var muligt at tilgå oplysninger om HIV patienter.

Datatilsynet fremkom den 6. oktober 2008 med en udtalelse til Danmarks Tekniske Universitet om den skete offentliggørelse. Udtalelsen er tillige tilgængelig på Datatilsynets hjemmeside.I forbindelse med Datatilsynets korrespondance med Danmarks Tekniske Universitet blev tilsynet gjort opmærksom på, at de offentliggjorte oplysninger hidrørte fra en ekstern foredragsholder fra Statens Serum Institut.

Idet oplysningerne – efter det oplyste – hidrørte fra Statens Serum Institut, anmodede Datatilsynet ved brev af 6. oktober 2008 Statens Serum Institut om en udtalelse.

Ved e-post af 20. november og 12. december 2008 er Statens Serum Institut fremkommet med udtalelser til sagen.

Det fremgår herefter af sagen, at en foredragsholder fra Statens Serum Institut – i forbindelse med et foredrag på Danmarks Tekniske Universitet i 2005 – udleverede en PowerPoint-præsentation med en indlejret Excelfil indeholdende oplysninger om personnumre og helbredsoplysninger på 10 personer.

Vedrørende oplysning til de berørte borgere er følgende oplyst:

Statens Serum Institut har oplyst, at foredragsholderen ikke har samtykket til en offentliggørelse af præsentationen på Danmarks Tekniske Universitets hjemmeside, men at overleveringen alene skete med henblik på en runddeling.

Statens Serum Institut har endvidere oplyst, at den omhandlede PowerPoint-præsentation ikke længere findes i instituttets IT-systemer i en form, hvor der indgår følsomme personoplysninger. Instituttet mener heller ikke, at præsentationen er videresendt til andre myndigheder eller private.

Med henblik på at undgå lignende situationer i fremtiden har Statens Serum Institut oplyst, at instituttet generelt har ændret praksis således, at al dokumentoffentliggørelse på instituttets hjemmeside kun sker som pdf-filer. Instituttet har herudover indskærpet, at der ved mødedeltagelse, mailkorrespondance, videregivelse af præsentationer m.m. skal være skærpet fokus på ikke at videregive filer, der kan indeholde utilsigtede oplysninger. Der er udarbejdet konkrete vejledninger i, hvorledes ovennævnte sikres.

Statens Serum Institut har oplyst, at instituttet ikke umiddelbart er i besiddelse af navn og adresse på de i præsentationen anførte personnumre.

Under hensyntagen til, at præsentationen ikke længere er tilgængelig via Danmarks Tekniske Universitets hjemmeside, og at instituttet ikke har givet samtykke til elektronisk offentliggørelse, og har gennemført generelle tiltag for at forebygge fremtidige hændelser, agter Statens Serum Institut ikke at orientere de berørte personer direkte.

Datatilsynet skal herefter udtale følgende:


Relevante regler i persondataloven                              

Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. 

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside eller på anden måde videregives til uvedkommende er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3. 

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer

Datatilsynet finder den skete videregivelse meget beklagelig

Datatilsynet kan konstatere, at Statens Serum Institut har videregivet en PowerPoint-præsentation indeholdende personoplysninger. PowerPoint-præsentationen indeholdt en indlejret Excel-fil med oplysninger om personnumre og helbredsoplysninger på 10 personer.

I det konkrete tilfælde, hvor personnumre og helbredsoplysninger er blevet videregivet, finder Datatilsynet ikke, at Statens Serum Institut har udvist den fornødne omhu, og Statens Serum Institut har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved henvise til, at videregivelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig det oplyste om de skridt, som Statens Serum Institut har taget for at undgå lignende videregivelser i fremtiden.

Underretning af de berørte personer                                                 

Datatilsynet finder det mest hensigtsmæssigt, at en eventuel underretning af de berørte borgere i denne sag sker ved Statens Serum Institut. Datatilsynet lægger i den sammenhæng vægt på, at oplysningerne hidrører fra Statens Serum Institut, som er ansvarlige for, at præsentationen blev udformet med personoplysninger indlejret og videregivet i strid med persondataloven.

Datatilsynet finder herudover, at Statens Serum Institut ved vurderingen af spørgsmålet om underretning bl.a. må tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i betragtning. Datatilsynet er herved opmærksom på, at det ifølge det i sagen oplyste ikke var let ud fra filen at knytte de enkelte personnumre til helbredsoplysninger. Statens Serum Institut kan endvidere tage i betragtning, om instituttet er i besiddelse af de berørte personers navne og adresser. Se om en tilsvarende problemstilling Datatilsynets brev af 30. maj 2008 til Statens Serum Institut om en tidligere sikkerhedsbrist. I den sag kunne Datatilsynet efter omstændighederne tilslutte sig Statens Serum Instituts løsningsforslag, hvor der blev informeret om det skete på instituttets hjemmeside. 

Datatilsynet skal foreslå, at Statens Serum Institut som alternativ til en individuel underretning overvejer at informere via instituttets hjemmeside. Datatilsynet anmoder Statens Serum Institut om at oplyse, om en sådan information vil blive givet. 

Statens Serum Instituts svar på ovenstående bedes fremsendt til Datatilsynet senest den 30. juni 2009. 

Afsluttende bemærkninger                                                                

Datatilsynet afventer herefter svar fra Statens Serum Institut. Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.

............................................................................................................................

Efterfølgende oplyste Statens Serum Institut, at man ville underrette generelt på instituttets hjemmeside, hvorefter Datatilsynet afsluttede sagen.

Historisk afgørelse

Dette er en historisk afgørelse truffet efter persondataloven, som ikke længere er gældende i Danmark. Datatilsynet har ikke taget stilling til, hvordan de historiske afgørelser ville være faldet ud, hvis de var truffet efter de nuværende regler, ligesom der kan være enkelte af de historiske afgørelser, som senere er blevet præciseret eller omgjort.

Se nye afgørelser

Læs om lovgivning