Journalnummer: 2011-632-0094
1.
Datatilsynet blev den 8. februar 2011, på baggrund af en henvendelse fra en journalist, opmærksom på, at Assens Kommune havde offentliggjort oplysninger om personnummer på internettet.
Der var tale om oplysninger om navn og personnummer på en borger, som fremgik af titlen på dokument nr. 31845/11 og nr. 31848/11 i en af postlisterne på kommunens hjemmeside.
Med henblik på at få oplysningerne fjernet fra internettet kontaktede Datatilsynet den 8. februar 2011 Assens Kommune telefonisk. Assens Kommune oplyste i den forbindelse, at kommunen straks ville foranledige, at oplysningerne blev fjernet fra internettet.
Datatilsynet anmodede i den anledning ved brev af 9. februar 2011 Assens Kommune om en udtalelse.
Ved e-post af 9. marts 2011 med bilag er Assens Kommune fremkommet med en udtalelse.
2.
Assens Kommune har oplyst, at de omhandlede oplysninger blev offentliggjort via en postliste på Assens Kommunes hjemmeside den 4. februar 2011. Oplysningerne blev fjernet den 8. februar 2011 umiddelbart efter Datatilsynets telefoniske henvendelse til Assens Kommune. Kommunen valgte samtidig midlertidigt at nedlukke postlisten for pladsanvisningen, som var den liste, hvorpå oplysningerne var offentliggjort.
Assens Kommune har videre oplyst, at kommunen har udarbejdet interne retningslinjer for kommunens åbne postlister, ligesom kommunens medarbejdere er orienteret om lovgivningen på området.
Assens Kommune har til Datatilsynet fremsendt kopi af notat om lovgivningen omkring åbne postlister samt kommunens retningslinjer for udarbejdelse af åbne postlister. Assens Kommune har oplyst, at notatet og retningslinjerne er offentliggjort på kommunens intranet.
Assens Kommune har videre oplyst, at kommunens superbrugere på kommunens ESDH-system, hvorfra postlisterne dagligt genereres, i forbindelse med postlisternes indførelse har orienteret kommunens medarbejdere om såvel lovgivning som de interne retningslinjer for kommunens åbne postlister.
Herudover tilbydes nyansatte medarbejdere undervisning i brug af kommunens ESDH-system. På kurset undervises og orienteres om postlisterne m.v.
Assens Kommune har oplyst, at den medarbejder, som har journaliseret et dokument, således at cpr-nummer på en borger fejlagtigt blev offentliggjort på kommunens postliste, har modtaget undervisning i kommunens ESDH-system og dermed i kommunens postlisteløsning.
Assens Kommune har videre oplyst, at det offentliggjorte cpr-nummer tilhører et barn bosiddende i Assens Kommune. Kommunen har den 9. februar 2011 telefonisk kontaktet barnets mor og beklaget, at kommunen ved en fejl har offentliggjort hendes barns personnummer på postlisten. Moderen har fået oplyst, at hun ved yderligere spørgsmål kan kontakte kommunens dagtilbud- og skolechef.
Assens Kommune har til Datatilsynet fremsendt kopi af telefonnotat vedrørende samtalen med barnets mor.
Assens Kommune har oplyst, at kommunen den 8. februar 2011 – umiddelbart efter fjernelse af dokumentet – konstaterede, at det ikke er muligt at søge dokumentet via søgemaskiner. Kommunen har i den forbindelse bemærket, at Datatilsynets medarbejder oplyste, at han tilsvarende ikke fik hits med oplysningerne frem ved søgning på internettet.
Assens Kommune har videre oplyst, at kommunen fremadrettet vil have øget fokus på, at personfølsomme oplysninger ikke offentliggøres på internettet. Det fremgår af kommunens retningslinjer, at postlisten skal gennemgås dagligt forinden offentliggørelse som et led i et kontrolsystem.
Assens Kommune har endvidere oplyst, at der som følge af nærværende sag vil blive fulgt op på, at den beskrevne sikkerhedsprocedure overholdes.
Assens Kommune har endelig oplyst, at kommunen den 8. februar 2011 gennemgik hele kommunens postliste for at sikre, at der ikke var yderligere oplysninger om personnumre tilgængelige.
3. Datatilsynet skal herefter udtale følgende:
3.1. Relevante regler i persondataloven 1
Det fremgår af persondatalovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at organisationens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.
Det er Datatilsynets opfattelse, at sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme oplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af organisationens systemer.
3.2. Datatilsynet finder det skete meget beklageligt
Datatilsynet må konstatere, at Assens Kommune på kommunens hjemmeside har offentliggjort oplysninger om personnummer på en borger.
I det konkrete tilfælde, hvor en borgers personnummer er blevet offentliggjort, finder Datatilsynet, at Assens Kommune ikke har udvist den fornødne omhu, og at Assens Kommune dermed ikke har overholdt kravene i persondatalovens § 41, stk. 3.
Datatilsynet finder den skete offentliggørelse meget beklagelig.
Datatilsynet har noteret sig det oplyste om, at oplysningerne blev fjernet umiddelbart efter Datatilsynets telefoniske henvendelse til Assens Kommune, at oplysningerne ikke er tilgængelige på søgemaskiner på internettet, og at kommunen har underrettet det berørte barns mor.
Datatilsynet har endvidere noteret sig, at Assens Kommunen har gennemgået hele kommunens postliste for at sikre, at der ikke var yderligere oplysninger om personnumre tilgængelige, at kommunen vil følge op på, at den beskrevne sikkerhedsprocedure overholdes, samt at kommunen fremadrettet vil have øget fokus på, at følsomme personoplysninger ikke offentliggøres på internettet.
4. Afsluttende bemærkninger
Datatilsynet foretager sig herefter ikke yderligere i sagen.
For god ordens skyld skal det oplyses, at sagen eventuelt vil blive omtalt på Datatilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer