Datatilsynet vender hermed tilbage til sagen hvor De ved e-post af 22. juni 2009 har klaget til Datatilsynet over Sorø Kommunes behandling af personoplysninger.
Sammenfattende må Datatilsynet konstatere, at Sorø Kommune på følgende måder har tilsidesat persondataloven:
- Utilstrækkelig omhyggelighed ved fremsendelse af breve, idet oplysninger tiltænkt Dem er sendt til forkert adresse, ligesom oplysninger om Dem uvedkommende personer er sendt til Dem, hvorved Sorø Kommune ikke har levet op til persondatalovens sikkerhedskrav.
- Fremsendelse af fortrolige og følsomme personoplysninger via ikke krypteret e-post har været almindelig praksis hos socialrådgiverne og den pågældende gruppeleder i Sorø Kommune, i strid med såvel kommunens egen politik som persondataloven.
- Videregivelse af fortrolige oplysninger om Dem og [udeladt] uden samtykke, og uden at kommunen har oplyst noget andet lovligt grundlag for videregivelsen.
Samlet set finder Datatilsynet den manglende efterlevelse af persondataloven meget kritisabel. Datatilsynet har ved brev af dags dato meddelt Sorø Kommune dette. Tilsynet har samtidig anmodet om at få oplyst, hvad Sorø Kommune vil gøre for at sikre persondatalovens efterlevelse i kommunen fremover.
En nærmere sagsfremstilling og begrundelse for Datatilsynets afgørelse følger nedenfor.
Sagsfremstilling
Ved e-post af 22. juni 2009 har De klaget til Datatilsynet over Sorø Kommunes behandling af personoplysninger.
Ved brev af 23. juli 2009 er Sorø Kommune fremkommet med en udtalelse i sagen, som De har kommenteret ved brev af 28. juli 2009 med en række bilag.
Ved brev af 4. december 2009 er Sorø Kommune fremkommet med endnu en udtalelse i sagen, som De har kommenteret ved brev af 30. december 2009.
Herefter er Sorø Kommune ved brev af 18. januar fremkommet med en udtalelse, som De har kommenteret ved brev af 19. februar 2010.
Senest har Sorø Kommune ved brev af 21. marts 2010 meddelt Datatilsynet, at kommunen ikke har yderligere kommentarer i anledning af Deres seneste bemærkninger.
Deres klage vedrører en række forhold vedrørende Sorø Kommunes håndtering af personoplysninger:
- De har den 8. april 2009 modtaget en ukrypteret e-mail fra Sorø Kommune ved [udeladt] indeholdende bl.a. Deres personnummer.
- De har oplevet, at Sorø Kommunes post til Dem indeholdende fortrolige og følsomme oplysninger er blevet adresseret forkert, hvorefter De modtog de omhandlede handleplaner og børnesamtaler i en åben kuvert. Kopi af den fejladresserede kuvert, som er stemplet af postvæsenet den 12. juli 2009, er fremsendt til Datatilsynet.
- De har modtaget oplysninger om andre personers sager og indeholdende bl.a. en anden borgers personnummer. Dokumentation i form af et dokument udformet på brevpapiret "[udeladt]" er fremsendt til Datatilsynet.
- De har den 4. juni 2009 tilkendegivet overfor Sorø Kommune, at De ikke ville give samtykke til videregivelse af andre oplysninger om Dem selv og [udeladt] end alder, navn og adresse, hvorefter kommunen den 17. juni 2009 alligevel har videregivet yderligere oplysninger om bl.a. personnumre til en psykolog.
- Sorø Kommune har den 17. juni 2009 sendt oplysninger om bl.a. Deres og [udeladt] personnumre samt omtale af psykologundersøgelsen til Dem via almindelig ukrypteret e-post.
Sorø Kommune har benyttet en vikar, som har opbevaret akter vedrørende Dem og [udeladt] i sine egne lokaler i [udeladt], hvor hun samtidigt udbød ydelser til Sorø Kommune via sit firma [udeladt].
- Sorø kommune opsagde aftalen med vikaren pr. 1. oktober 2009, men har den 22. oktober 2009 oplyst Dem, at kommunen endnu ikke har modtaget alle sagsakter retur fra vikaren.
- Ved et møde, som De havde med en advokat den 18. februar 2010, blev der i sagens akter, fremsendt af Sorø Kommune til advokaten, fundet en pædagogisk-psykologisk rapport vedrørende et andet barn bosat i Sorø Kommune indeholdende bopælsadresse, personnummer og stærkt fortrolige oplysninger.
Deres bemærkninger
Det er Deres opfattelse, at Sorø Kommune slet ikke har styr på sin sikkerhed, idet der stadig sendes ukrypterede mails, samt at sikkerheden på papir er endnu dårligere.
De har påpeget, at det forhold, at mange familier ønsker at kommunikere via mail, ikke retfærdiggør, at kommunen ser stort på sikkerhed og omgang med følsomme såvel som stærkt fortrolige personoplysninger.
Vedrørende [udeladt] har De påpeget, at firmaet hører til i [udeladt] og er registreret under kommunikations design og grafisk produktion.
De undrer Dem over, at Sorø Kommune benytter sig af sådan et firma til at varetage sagsbehandlingen samt sikkerheden af sine familiemæssige sager.
Med hensyn til videregivelsen til psykologen har De bemærket, at forvaltningen også har udleveret sagsakter til psykologen uden at indhente samtykke fra [udeladt] på [udeladt] år eller fra Dem.
De har bemærket, at kommunen allerede inden et formøde med psykologen, og inden kontrakten blev indgået ultimo september/primo oktober 2009, har udleveret følsomme samt fortrolige personoplysninger på trods af, at De forinden havde oplyst, at De ikke gav samtykke til videregivelse af oplysninger.
De finder det forkasteligt, at en offentlig instans omgås sandheden så lemfældigt i forsøg på at slippe fra deres gentagne graverende fejl.
Sorø Kommunes bemærkninger
Sorø Kommune har oplyst, at kommunen håndterer og opbevarer personhenførbare oplysninger i et elektronisk dokumenthåndteringssystem ved Kommunedata (KMD-sag).
Sorø Kommune har desuden oplyst, at alle følsomme personoplysninger, der sendes ud af huset, sendes i anbefalet post.
Det er Sorø Kommunes overordnede politik, at al mail kommunikation med følsomme personoplysninger skal fremsendes via sikker mail. Dette kan imidlertid kun lade sig gøre via afdelingens e-mailpostkasse.
Sorø Kommune har oplyst, at den omhandlede vikar ikke har været opmærksom på reglen om at følsomme personoplysninger altid skal sendes i anbefalet post. Dette er blevet indskærpet overfor den pågældende sagsbehandler samt de øvrige medarbejdere i Familierådgivningen.
I svaret til Datatilsynet af 18. januar 2010 oplyste Sorø Kommune bl.a., at da mange familier selv vælger at kommunikere via mail, har socialrådgiverne og gruppelederen hidtil valgt at besvare og fremsende mails. Det er dog nu blevet indskærpet overfor medarbejderne, at dette ikke må ske, ligesom der er taget initiativ til at få installeret et program, så der fremover kan kommunikeres med sikker e-mail direkte fra den enkelte medarbejders e-mail.
Ifølge Sorø Kommune var det en utilgivelig fejl, at den pågældende sagsbehandler også sendte Dem en kontrakt omhandlende en anden familie. Det sker desværre, når tingene går for hurtigt.
I forhold til videregivelsen til psykologen har Sorø kommune anført, at De har givet samtykke til udlevering af oplysninger om Dem og [udeladt] i forbindelse med, at der skulle udarbejdes en psykologisk undersøgelse ved en psykolog, som De selv havde valgt. Sagsbehandleren har skrevet til psykologen og bekræftet, at Sorø Kommune vil betale for den omtalte psykologiske undersøgelse, og har i den forbindelse oplyst personnumre og adresse på Dem [udeladt]. Det er ifølge Sorø Kommune normal kutyme at udlevere personnumre, når der indgås kontrakter med leverandører som f.eks. psykologer.
Sorø Kommune har ikke kommenteret på oplysningerne fra Dem vedrørende urigtigheden af kommunens oplysninger om, at der skulle foreligge samtykke, herunder det fremsendte bilag 3, som indeholder Deres tilkendegivelse til kommunen om, at kommunen ikke måtte udlevere nogen oplysninger udover navn, alder og adresse.
Sorø Kommune har heller ikke kommenteret det af Dem oplyste om, at kommunen allerede inden formødet havde udleveret sagsakter til psykologen uden at indhente samtykke fra Dem og [udeladt] på [udeladt] år.
Datatilsynets udtalelse
Persondataloven1 stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Persondatalovens sikkerhedskrav, som for offentlige myndigheder er nærmere uddybet i sikkerhedsbekendtgørelsen2 og i Datatilsynets vejledning dertil3, omfatter bl.a.:
- Krav om uddybende sikkerhedsregler med en opdateret beskrivelse af, hvordan myndigheden efterlever kravene (bekendtgørelsens § 5).
- Krav om instruktion af medarbejderne (bekendtgørelsens § 6).
- Krav om særlige retningslinjer, hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter (bekendtgørelsens § 7, stk. 2).
- Krav til håndtering af uddata (bekendtgørelsens § 13), dog kun så længe udskrifterne mv. ikke indgår i en manuel sag - derefter gælder forvaltningsloven.
- Krav om kryptering og evt. tillige brug af digital signatur ved fremsendelse af fortrolige og følsomme personoplysninger i e-mail via internet (bekendtgørelsens § 14).
Sorø Kommunes fremsendelse af personoplysninger i breve
Datatilsynet har ved sagens behandling lagt til grund, at der i de fremsendte breve indgår dokumenter, som er dannet ved brug af edb og derefter udskrevet. Der er således tale om behandling af personoplysninger inden for persondatalovens anvendelsesområde, og lovens krav skal iagttages.
Såvel den skete fremsendelse af oplysninger om Dem og [udeladt] til en anden borgers adresse som de skete fremsendelser af materiale vedrørende andre borgere til Dem og til en advokat er efter Datatilsynets opfattelse udtryk for utilstrækkelig omhyggelighed. Efter Datatilsynets opfattelse har Sorø Kommune således ikke levet op til persondatalovens sikkerhedskrav i forbindelse med de omhandlede breve.
Den omstændighed, at udsendelsen er foretaget af en vikar, ændrer ikke på, at Sorø Kommune har ansvaret for den skete behandling af personoplysninger.
Datatilsynet har noteret sig det oplyste om, at Sorø Kommune har bragt aftalen med vikaren til ophør pr. 1. oktober 2009.
Det resterende materiale hos vikaren
I forhold til det af Dem oplyste om, at kommunen den 22. oktober 2009 har oplyst til Dem, at kommunen endnu ikke har modtaget alle sagsakter retur fra vikaren, skal Datatilsynet bemærke, at håndteringen af manuelle sagsakter i udgangspunktet falder uden for persondataloven.
Datatilsynet har derfor i brev af dags foreslået Sorø Kommune, at De bliver holdt orienteret om, hvorvidt kommunen nu har modtaget alle sagsakter.
Datatilsynet har endvidere bedt kommunen om at svare Datatilsynet på, hvorvidt kommunen har sikret sig, at den omhandlede vikar ikke ligger inde med personoplysninger på edb og/eller uddata i form at udskrifter ol., som hidrører fra udførelsen af opgaver for kommunen.
Sorø Kommunes fremsendelse af personoplysninger via e-post
Datatilsynet må konstatere, at bl.a. den af Sorø Kommune anvendte vikar har sendt fortrolige og følsomme personoplysninger om Dem og [udeladt] via ukrypteret e-post.
Datatilsynet må desuden konstatere, at brug af ukrypteret e-post til fremsendelse af fortrolige og følsomme personoplysninger har været almindelig praksis hos socialrådgiverne og den pågældende gruppeleder i Sorø Kommune.
Det af kommunen omtalte forhold - at mange familier selv kommunikerer via mail, og at sikker mail kun kunne sendes via afdelingens e-mail-postkasse - ændrer ikke på, at den anvendte praksis var i strid med persondataloven.
Samtidigt er det efter det oplyste Sorø Kommunes overordnede politik, at al mail kommunikation med følsomme personoplysninger skal fremsendes via sikker mail.
En sådan bredt anvendt praksis i strid med såvel kommunens egen politik som persondataloven udgør efter Datatilsynets opfattelse et meget kritisabelt brud på persondatalovens sikkerhedskrav.
Datatilsynet har noteret sig det i januar 2010 oplyste om, det var blevet indskærpet overfor medarbejderne, at besvarelse og fremsendelse af e-post ikke måtte ske.
Datatilsynet har desuden noteret sig, at det endvidere er oplyst, at der er taget initiativ til at få installeret et program, så der fremover kan kommunikeres med sikker e-mail direkte fra den enkelte medarbejders e-post-adresse.
Datatilsynet skal i den forbindelse påpege, at fremsendelse af sikker e-post ikke kun forudsætter, at kommunen er i stand til at sende sikker e-post. Det er også en forudsætning, at borgeren har etableret mulighed for at modtage e-post, hvilket med de hidtidige løsninger har haft begrænset udbredelse.
I forhold til de (mange) borgere, som endnu ikke er i stand til at modtage sikker e-post, vil det ikke være muligt for kommunen lovligt at sende fortrolige og følsomme personoplysninger via e-post. I stedet må anvendes traditionel postfremsendelse.
Videregivelsen af oplysninger til en psykolog
Datatilsynet må lægge til grund, at Sorø Kommune har videregivet bl.a. personnumre på Dem og [udeladt] til en psykolog, selv om De udtrykkeligt havde meddelt kommunen, at De ikke gav samtykke til, at kommunen måtte udlevere nogen oplysninger udover navn, alder og adresse.
Ifølge persondatalovens § 11, stk. 1, kan offentlige myndigheder behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
I forhold til videregivelse af oplysninger om personnumre har Datatilsynet i sin praksis tilkendegivet, at god databehandlingsskik i persondatalovens § 5, stk. 1, medfører, at en offentlig myndighed ikke bør videregive oplysninger om personnummer til en privat virksomhed, som ikke lovligt kan modtage og behandle oplysningerne.
En privat psykolog må efter persondatalovens § 11, stk. 2, kun behandle personnumre, når snævre betingelser er opfyldt, herunder at der foreligger samtykke eller lovhjemmel.
I forhold til videregivelsen i denne sag må Datatilsynet lægge til grund, at der ikke forelå samtykke. Tilsynet må desuden konstatere, at Sorø Kommune ikke har godtgjort, at der foreligger et andet lovligt grundlag for videregivelsen af oplysningerne om personnumre på Dem og [udeladt]. Det oplyste om, at en sådan videregivelse er kutyme, kan efter Datatilsynets opfattelse ikke i sig selv anses for en tilstrækkelig hjemmel.
Datatilsynet finder det meget beklageligt, at Sorø Kommune har videregivet oplysninger om personnumre på Dem og [udeladt] uden samtykke og uden at kunne oplyse en anden hjemmel hertil.
For så vidt angår Deres bemærkning om videregivelse af sagsakter til psykologen skal Datatilsynet bemærke, at en kommunes videregivelse af manuelle sagsakter til private i udgangspunktet falder uden for persondataloven. På det foreliggende grundlag har Datatilsynet derfor ikke til hensigt at foretage yderligere vedrørende det af Dem rejste angående dette forhold, som ikke er kommenteret af Sorø Kommune. Hvis De vil forfølge det spørgsmål yderligere, skal Datatilsynet foreslå Dem at klage til den kommunale statsforvaltning.
Sammenfatning og konklusion
Sammenfattende må Datatilsynet konstatere, at Sorø Kommune på følgende måder har tilsidesat persondataloven:
- Utilstrækkelig omhyggelighed ved fremsendelse af breve, idet oplysninger tiltænkt Dem er sendt til forkert adresse, ligesom oplysninger om Dem uvedkommende personer er sendt til Dem, hvorved Sorø Kommune ikke har levet op til persondatalovens sikkerhedskrav.
- Fremsendelse af fortrolige og følsomme personoplysninger via ikke krypteret e-post har været almindelig praksis hos socialrådgiverne og den pågældende gruppeleder i Sorø Kommune, i strid med såvel kommunens egen politik som persondataloven.
- Videregivelse af fortrolige oplysninger om Dem og [udeladt] uden samtykke, og uden at kommunen har oplyst noget andet lovligt grundlag for videregivelsen.
Samlet set finder Datatilsynet den manglende efterlevelse af persondataloven meget kritisabel. Datatilsynet har ved brev af dags dato meddelt Sorø Kommune dette. Tilsynet har samtidig anmodet om at få oplyst, hvad Sorø Kommune vil gøre for at sikre persondatalovens efterlevelse i kommunen fremover.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.