Journalnummer: 2009-621-0045
1. I forbindelse med Datatilsynets inspektion af overtrædelsesregisteret, som Erhvervs- og Selskabsstyrelsen er dataansvarlig for, har tilsynet konstateret, at styrelsen har tilsidesat persondataloven på tre punkter:
- Manglende efterlevelse af persondatalovens krav om datasikkerhed som nærmere uddybet i Datatilsynets henstilling af 29. november 2005 idet politiets adgang til registeret sker via internet og ved anvendelse af brugernavn og password og ikke som henstillet af Datatilsynet ved brug af digital signatur eller ved opslag fra kendte ip-adresser.
- Ingen kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18.
- Manglende efterlevelse af persondatalovens krav om kryptering ved fremsendelse af e-mails med oplysninger om strafbare forhold og personnumre via internet som led i sagsbehandlingen, jf. sikkerhedsbekendtgørelsens § 14 som nærmere uddybet i Datatilsynets sikkerhedsvejledning.
2. Det er efter Datatilsynets opfattelse uacceptabelt, at den henstilling, som tilsynet har givet i 2005 vedrørende politiets adgang til registeret, fortsat ikke er fulgt.
Situationen forværres af, at der ikke er etableret kontrol med afviste adgangsforsøg. Det må således lægges til grund, at uvedkommende uden begrænsninger på antal forsøg har adgang til via internet at forsøge at gætte sig frem til en adgangsgivende kombination af brugernavn og password. Der sker endvidere ingen logning af sådanne forsøg.
Samlet set finder Datatilsynet den manglende efterlevelse af persondataloven meget kritisabel.
Efter Datatilsynets opfattelse må den nødvendige sikkerhed omkring politiets adgang til overtrædelsesregisteret etableres omgående, ellers må adgangen lukkes. Der skal endvidere etableres kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18. Og endelig må fremsendelsen af fortrolige og følsomme personoplysninger via e-post ophøre.
3. For en nærmere gennemgang af sagen henvises til Datatilsynets udtalelse til Erhvervs- og Selskabsstyrelsen, der vedlægges i kopi.
4. Datatilsynet skal anmode Økonomi- og Erhvervsministeriet om inden 4 uger at oplyse, hvad ministeriet vil gøre for at sikre persondatalovens efterlevelse i forbindelse med overtrædelsesregisteret.