Journalnummer: 2009-69-0006
Vedrørende bibliotekernes og bibliotek.dks anvendelse af ukrypterede elektroniske reserverings- og kvitteringsmeddelelser
1. Den 14. oktober 2005 afgav Datatilsynet en udtalelse til Biblioteksstyrelsen (nu Styrelsen for Bibliotek og Medier) vedrørende anvendelsen af elektroniske kvitteringsmeddelelser fra Biblioteksstyrelsens hjemmeside bibliotek.dk og anvendelse af elektroniske reserveringsmeddelelser fra bibliotekerne.
Under hensyn til bl.a. den manglende udbredelse i anvendelsen af krypteret e-post i befolkningen accepterede Datatilsynet undtagelsesvist, at Biblioteksstyrelsen og bibliotekerne i en periode på 5 år fortsatte med at sende elektroniske reserverings- og kvitteringsmeddelelser, der indeholder titel og forfatter på det reserverede materiale, i ikke-krypteret form.
2.1. Da den 5-årige dispensation nærmer sig sit udløb, har Datatilsynet genoptaget sagen.
2.2. Til brug for sagens fornyede behandling har Datatilsynet indhentet en udtalelse fra Styrelsen for Bibliotek og Medier. I den forbindelse har Styrelsen for Bibliotek og Medier i brev af 27. januar 2010 argumenteret for, at Datatilsynet bør forlænge sin accept af, at bibliotekerne og bibliotek.dk kan sende reserverings- og kvitteringsmeddelelser i ukrypteret form for yderligere fem år med virkning fra oktober 2010.
2.3. Der har endvidere været afholdt et møde mellem Datatilsynet og repræsentanter for Styrelsen for Bibliotek og Medier, hvor Styrelsen for Bibliotek og Medier uddybede og supplerede sin udtalelse af 27. januar 2010.
Under mødet forklarede Styrelsen for Bibliotek og Medier bl.a., at Bibliotek.dk fungerer som en indgangsportal til landets biblioteker. På bibliotek.dk kan brugerne se, hvilket materiale der findes på danske offentlige biblioteker, og brugerne kan bestille det. For at kunne bestille på bibliotek.dk kræver det, at man er registreret som låner på et lokalt bibliotek. Ønsker brugeren at foretage en bestilling via bibliotek.dk, kan det ske på flere tekniske måder. Fælles er, at brugerens lokale bibliotek har ansvaret for behandlingen.
Fra bibliotek.dk kan brugeren modtage en kvittering for, at bestillingen er overdraget til brugerens lokale bibliotek.
Styrelsen for Bibliotek og Medier forklarede endvidere, at der på nuværende tidspunkt ikke findes mulighed for, at brugerne kan vælge at modtage e-mails fra bibliotekerne krypteret. I den forbindelse forklarede Styrelsen for Bibliotek og Medier, at de ikke har oplevet brugere efterspørge denne mulighed.
I forbindelse med en drøftelse af mulige løsninger understregede Styrelsen for Bibliotek og Medier, at den kommende dokumentboks, som alle danskere vil få tilbudt, efter Styrelsen for Bibliotek og Mediers opfattelse ikke på nuværende tidspunkt vil være et hensigtsmæssigt alternativ til den eksisterende løsning med anvendelse af e-mails.
3. Datatilsynet skal - efter at sagen har været behandlet i Datarådet - udtale følgende:
Som tilkendegivet i Datatilsynets udtalelse af 14. oktober 2005 er det tilsynets opfattelse, at oplysninger om, hvilke bøger borgerne reserverer og låner på biblioteket, er af fortrolig karakter.
Det er endvidere Datatilsynets opfattelse, at der generelt er behov for at træffe sikkerhedsforanstaltninger, når offentlige myndigheder sender oplysninger af fortrolig karakter over det åbne internet.
Der henvises herved til sikkerhedsbekendtgørelsens § 14, som er nærmere uddybet i Datatilsynets sikkerhedsvejledning.
Datatilsynet lægger til grund, at der findes tekniske løsninger, som vil gøre det muligt at overholde persondatalovens sikkerhedskrav, men at løsningerne fortsat ikke er tilstrækkelig udbredte, og at anskaffelse og drift er uforholdsmæssig omkostningsfyldt.
Datatilsynet lægger endvidere til grund, at den etablerede tjeneste, er en velfungerende serviceydelse, som borgerne er tilfredse med.
Datatilsynet finder på den baggrund undtagelsesvist at kunne acceptere, at Styrelsen for Bibliotek og Medier og bibliotekerne i endnu en periode på 5 år fortsætter med at sende elektroniske reserverings- og kvitteringsmeddelelser, som indeholder titel og forfatter på det reserverede materiale, ved brug af ikke-krypterede e-post.
Datatilsynet forudsætter, at Styrelsen for Bibliotek og Medier og bibliotekerne nøje følger udviklingen af teknologiske løsninger, herunder især udviklingen af dokumentboks, og løbende vurderer, om funktionaliteten af dokumentboks og andre løsninger gør dem anvendelige på biblioteksområdet. Målet må således være, at Styrelsen for Bibliotek og Medier og bibliotekerne inden udløbet af den 5-årige periode kan implementere en løsning, som lever op til persondatalovens krav.
Hvis der i praksis skulle vise sig konkrete uhensigtsmæssigheder ved den nuværende løsning set i forhold til de beskyttelseshensyn, som persondataloven varetager, forbeholder Datatilsynet sig ret til at tage sagen op til fornyet overvejelse.