Journalnummer: 2008-632-0025
Datatilsynet modtog den 7. februar 2008 en henvendelse fra en borger og blev i den forbindelse opmærksom på, at Skive Handelsskole havde offentliggjort personoplysninger om elevers personnumre på skolens hjemmeside.
Datatilsynet kontaktede den 13. februar 2008 Skive Handelsskole telefonisk og opfordrede til, at oplysningerne hurtigst muligt blev fjernet fra Skive Handelsskoles hjemmeside. Det blev aftalt, at Skive Handelsskole ville undersøge sagen nærmere, og straks sørge for sletning af oplysningerne.
Ved brev af 26. februar 2008 er Skive Handelsskole fremkommet med en udtalelse i sagen, og der er endvidere indhentet supplerende oplysninger telefonisk.
Det fremgår herefter af sagen, at Skive Handelsskole mellem jul og nytår 2007 ved en fejl er kommet til at offentliggøre valgfagslisterne for HH2- og HH3-eleverne, hvoraf oplysninger om bl.a. navne og personnumre på ca. 119 studerende fremgår. Der er efter det oplyste tale om en menneskelig fejl, som Skive Handelsskole har beklaget.
Det er endvidere oplyst, at alene tre ansatte på Skive Handelsskole har adgang til at uploade dokumenter på skolens hjemmeside. De har alle et højt uddannelsesniveau indenfor IT-området og er særdeles opmærksomme på persondatalovens sikkerhedskrav.
Skive Handelsskole har i lyset af hændelsen vurderet de gældende sikker-hedsprocedurer og konkluderet, at hændelsen ikke giver anledning til at ændre de nuværende procedurer.
Skive Handelsskole har endvidere oplyst, at handelsskolen har orienteret de berørte personer om hændelsen via elektronisk post.
Skive Handelsskole har endvidere oplyst, at handelsskolen umiddelbart efter kontakt med Datatilsynet har taget kontakt til Google, og bedt dem om at fjerne de omhandlede dokumenter. Efter det af handelsskolen oplyste, cacher Google ikke pdf-format, hvorfor dokumenterne ikke længere er at finde hos Google.
Endelig har Skive Handelsskole oplyst, at skolens hjemmeside er blevet undersøgt for yderligere fejl, og der viste sig ikke at være flere.
Datatilsynet skal herefter udtale følgende:
Relevante regler i persondataloven
Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige oplysninger, og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er potentiel risiko for offentliggørelse af fortrolige og /eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange, og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet finder offentliggørelsen meget beklagelig
I det konkrete tilfælde, hvor oplysninger om 119 personer omfattende bl.a. navne og personnumre er blevet offentliggjort finder Datatilsynet ikke, at Skive Handelsskole har udvist den fornødne omhu, og skolen har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.
Datatilsynet noteret sig det oplyste om, at Skive Handelsskole straks har fjernet de offentliggjorte navne og personnumre fra hjemmesiden, og at Skive Handelsskole har beklaget det passerede, samt at skolens hjemmeside er blevet undersøgt for yderligere fejl, og der viste sig ikke at være flere.
Datatilsynet har i sin høring til Skive Handelsskole bl.a. stillet spørgsmål om, hvilke forholdsregler skolen vil tage for at sikre, at der fremover ikke sker uberettiget offentliggørelse af personoplysninger på handelsskolens hjemmeside. Skive Handelsskole har svaret, at skolen har vurderet sine procedurer og ikke med udgangspunkt i hændelsen finder anledning til at ændre disse.
Datatilsynet skal anmode Skive Handelsskole om at fremsende en beskrivelse af de nævnte procedurer til Datatilsynet til nærmere vurdering.
Information om utilsigtet offentliggørelse
Hvis en organisation ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal organisationen gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst ”Utilsigtet offentliggørelse på internettet” .
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Datatilsynet har i den forbindelse noteret sig, at det er oplyst, at der er sket
underretning af de berørte personer via e-post.
Datatilsynet skal anmode om at få tilsendt kopi af underretningen.
Efter Datatilsynets opfattelse, skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af organisationens sider og i givet fald sørge for, at oplysningerne fjernes derfra.
Skive Handelsskole har oplyst, at skolen har taget kontakt til Google for at sikre, at oplysningerne ville blive fjernet fra Google, som imidlertid efter det oplyste ikke cacher pdf-format.
Datatilsynet skal i tilknytning hertil gøre opmærksom på, at der i en række tilfælde dannes html-udgaver i Google, hvilket så vidt Datatilsynet har konstateret også var tilfældet i denne sag. Dvs. at informationerne i pdf-dokumentet var lagret hos Google og således ville være tilgængelige, selv om selve pdf-dokumentet blev fjernet fra Skive Handelsskoles hjemmeside.
Datatilsynet kan imidlertid ikke længere finde de omhandlede oplysninger fra Skive Handelsskoles offentliggørelse på Google, og går herefter ud fra, at de nu er fjernet.
Tilsynet afventer tilbagemelding fra Skive Handelsskole
Datatilsynet skal som nævnt ovenfor anmode om at få fremsendt en beskrivelse Skive Handelsskoles procedurer til sikring af, at der ikke sker uberettiget offentliggørelse.
Datatilsynet anmoder desuden om at få tilsendt kopi af den underretning, som er sendt til de personer, som er berørt at sikkerhedsbristen.
Skive Handelsskoles svar bedes fremsendt, så det er Datatilsynet i hænde senest den 1. juli 2009.
Datatilsynet skal for god ordens skyld oplyse, at dette brev vil blive offentliggjort på tilsynets hjemmeside.