Journalnummer: 2011-631-0136
1.
Datatilsynet vender hermed tilbage til sagen om KL's overførsel af et køreprøvesystem til en cloud-løsning.
Samlet set finder Datatilsynet KL's håndtering af personoplysningerne i køreprøvesystemet meget kritisabel. Tilsynet skal herved navnlig fremhæve følgende forhold:
- KL handlede som dataansvarlig uden at være berettiget dertil.
- Persondatalovens krav om, at oplysninger skal beskyttes med de fornødne sikkerhedsforanstaltninger, blev ikke iagttaget. En opsætningsfejl indebar, at kørelærere, der loggede på systemet i visse perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever.
- KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.
- KL's begrundelse om, at data ikke har været behandlet uden for EU, er ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.
Datatilsynet finder, at der er behov for, at KL indhenter en revisionserklæring fra en uafhængig tredjepart med henblik på at få bekræftet, at oplysningerne fra kommunernes system er blevet slettet uigenkaldeligt i den anvendte cloud-løsning. Tilsynet har herved lagt vægt på, at der er tale om, at personoplysninger - bl.a. omfattende private og fortrolige oplysninger - er overført uden om de dataansvarlige kommuner og uden databehandleraftale.
En detaljeret gennemgang af sagen følger nedenfor.
2. Sagsfremstilling
2.1
På baggrund af en henvendelse fra Dansk Kørelærer-Union blev Datatilsynet i april måned 2011 opmærksom på, at der har været en sikkerhedsbrist i et køreprøvesystem.
Ved breve af 27. maj og 19. september 2011 er KL efter anmodning fra Datatilsynet fremkommet med udtalelser til sagen.
2.2.
Dataansvaret i forbindelse med overførslen til cloud-løsningen
KL har oplyst, at KL i praksis på kommunernes vegne varetager "ejerrollen" for bookingsystemet. I det daglige foregår det i samarbejde med brugerne af systemet, dvs. kommunerne, politiet og kørelærerne, repræsenteret ved DKU (Dansk Kørelærer-Union), hvor KL forsøger at tilgodese de forskellige behov og ønsker fra brugerne for at sikre en løsning, der afspejler brugernes behov.
KL har oplyst, at beslutningen om at afprøve en cloud-løsning er truffet af KL, der i praksis har ageret som dataansvarlig, selvom det af fællesanmeldelsen fremgår, at kommunerne er dataansvarlige.
KL har videre oplyst, at beslutningen blev truffet på baggrund af en længere periode med kapacitetsproblemer i det eksisterende setup. På trods af en løbende udvikling og optimering af løsningen, har der i lange perioder været svartidsproblemer i løsningen. Undersøgelsen af mulighederne i en cloud-baseret drift var dels et forsøg på at optimere svartiderne for alle brugere (kørelærere, politi og kommuner), dels et forsøg på at etablere en billigere og mere effektiv drift af løsningen. Her tilbyder cloud-drift et muligt svar på begge udfordringer.
KL har oplyst, at KL tilstræber, at bookingløsningen i størst muligt omfang kan løse de forretningsmæssige behov hos alle brugere.
KL har videre oplyst, at KL vil tage skridt til at indgå en aftale om, hvilken rolle KL skal spille i forhold til kommunernes opgaver som dataansvarlige.
2.3. Oplysningernes karakter og antallet af personer
KL har oplyst, at booking-systemet indeholder oplysninger om de personer (cpr-nummer), der ønsker at erhverve kørekort. Cpr-nummer anvendes til at sikre, at den person, der har bestilt en prøve, overholder de aldersmæssige betingelser for at gå til en prøve, og til at sikre, at den person, der tager prøven, er den person, der skal have kørekortet. Denne godkendelse sker analogt, når prøven afholdes ved, at politiet (der afholder prøven) tjekker identiteten på aspiranten og sikrer, at aspiranten er den person, der er godkendt til prøven. Det sker analogt vha. et foto, som lægen (der udsteder lægeattesten) har kontrolleret og skrevet cpr-nummer bag på.
Kørekort-systemet indeholder oplysninger (navn, cvr-nummer, cpr-nummer og e-mailadresse) om kørelærere, der overføres fra Miljøportalen. Disse oplysninger kan tilgås af politiet, så det er muligt direkte at kontakte kørelærerne, når der er behov for at sende information om f.eks. aflyste prøver pga. vejrlig. Systemet indeholder ingen oplysninger om betalingskort.
KL har videre oplyst, at systemet pt. indeholder oplysninger om alle elever, der har fået kørekort i den periode, systemet har været i drift. Det er kørelærerne, der opretter eleverne i systemet. Systemet giver mulighed for at indberette cpr-nummer og navn (tvungen), men indberetning af adresse og tlf.nr. er frivillig. Oftest har kørelærere disse oplysninger i egne systemer.
Systemet indeholder oplysninger om aktive elever. Oplysninger om færdige/ikke-aktive elever gemmes i et arkiv. Elevoplysninger kan arkiveres af kørelærerne, når elevforholdet er overstået. Når oplysninger er arkiverede, kan de kun tilgås ved en søgning på cpr-nummer. Dvs. at hvis man forsøger at oprette samme cpr-nummer, vil oplysningerne blive hentet fra arkivet. Der kan ikke udskrives elevlister fra arkivet.
KL har videre oplyst, at der er påbegyndt en analyse med henblik på at slette oplysninger, der ikke længere er relevante. Elever/spiranter kan være oprettede og aktive i systemet i en lang periode. I princippet indtil de er færdige med en prøve. Dels er der elever, der er lang tid om at gennemgå prøveforløbet, dels er der elever, der oprettes, men ikke (aldrig?) bliver færdige. Analysen skal vurdere, hvornår aspirantoplysninger ikke længere er relevante og derefter kan slettes automatisk. Udfordringen er at kunne skelne mellem "færdige" elever/aspiranter og elever/aspiranter, der blot er lang tid om at komme igennem prøveforløbet. Da systemet leverer data til Rigspolitiet til statistik-formål og på opfordring til SKAT til kontrolformål, skal det sikres, at de statistikrelevante data bibeholdes i systemet, når de personlige data slettes.
Antallet af kørelærerprofiler tilsluttet løsningen er ca. 2.500. Heraf er der en del med mere end én profil, fordi de er tilknyttede flere køreskoler. Der er ca. 700 profiler på ansatte i politiet og ca. 1.300 profiler på ansatte i kommunerne. Antallet af elever/aspiranter er ca. 80.000 årligt.
Systemet har været i drift siden april 2007. Politiet indberetter oplysninger om bestået/ikke-bestået, hvorefter kommunen (i tilfælde af "bestået") indberetter oplysningerne til politiets kørekortregister, der efterfølgende fremsender kørekort til aspiranten. Sletteprocedurer er pt. ved at blive testet. Sletningsperioden er fastlagt til 18 måneder efter oprettelse i systemet for at sikre, at aktive elever ikke slettes utilsigtet. En procedure, der sletter data efter bestået prøve, vil ikke være hensigtsmæssig, da et betydeligt antal aspiranter tager mere end én prøve (f.eks. bil og motorcykel eller lastbil og hænger) på samme lægeattest, førstehjælpskursus m.v. De 18 måneder vurderes som værende hensigts-mæssige i forhold til varighed af lægeerklæring og gyldighedsperiode for bestået teoriprøve.
KL har endvidere oplyst, at det hidtil har været praksis at opbevare alle data vedrørende aspiranten i systemet. Statistikudtræk til SKAT indeholder cpr-numre på aspiranterne på SKAT's anmodning. Statistikudtræk til politiet er uden personhenførbare oplysninger om elever. SKAT anmoder løbende om oplysninger fra booking-systemet til virksomhedskontrol af køretøjer. Hjemlen til udlevering af oplysningerne findes i momslovens § 76, stk. 1, og/eller skattekontrollovens § 8 D. Det er den enkelte skatteregion, der fastlægger kontrolområder og anmoder om specifikke udtræk af virksomheder (køreskoler) baseret på adresser og CVR-oplysninger om virksomheder inden for den enkelte region og evt. cpr-nummer på aspiranter.
2.4. Anmeldelse til Datatilsynet
KL har oplyst, at KL ikke har været opmærksom på manglerne i anmeldelsen til Datatilsynet, der blev foretaget, da kommunerne overtog opgaven med administration af kørekort og prøvetilmeldingen. KL vil snarest revidere fællesanmeldelse med hensyn til angivelsen af databehandler og de øvrige forhold, Datatilsynet har påpeget.
KL har oplyst, at det, siden systemet er taget i brug, har været NNIT A/S, der står for såvel drift som udvikling af løsningen, men Kommuneinformation A/S har stået for brugersupporten i det meste af perioden. I starten var det også NNIT A/S, der løste denne opgave.
2.5. Håndtering af persondatalovens og sikkerhedsbekendtgørelsens krav om datahandleraftale
KL har oplyst, at en del af løsningen i en kort periode har været i drift på Microsoft Azure i Irland. Der har ikke været indgået databehandleraftaler med de relevante leverandører. Et beklageligt forhold, der er ved at blive rettet. Microsoft Azure anvendes ikke længere. Ved en evt. senere overgang til cloud-løsning vil en passende databehandleraftale blive udarbejdet.
2.6. Overførsel af personoplysninger til tredjelande
KL har indhentet opklarende information fra Microsoft vedrørende den anvendte løsning. Microsoft har bl.a. oplyst, at den anvendte løsning lader det være kundens/systemudviklerens valg at beslutte den geografiske placering af data. Under den antagelse, at KL i samarbejde med systemudvikleren (NNIT) har valgt at anvende Microsoft's data center i Irland, gælder det således, at alle data herun-der også personoplysninger er blevet opbevaret i Irland og således indenfor EU. I det begrænsede omfang, at driften af Microsoft Windows Azure nødvendiggør, at specifikke data er tilgængelige fra Microsoft Corporation beliggende i USA, henviser Microsoft til, at Microsoft Corporation er underlagt Safe Harbor.
KL har udtalt, at idet data ikke har været behandlet udenfor EU, er persondatalovens § 27 ikke blevet iagttaget.
Det er KL's opfattelse, at data behandlet hos Azure reelt har været opbevaret og behandlet under tilstrækkeligt sikre forhold, men KL beklager den manglende anmeldelse af forholdet til Datatilsynet.
2.7. Sletning hos Microsoft
KL har oplyst, at det er KL's vurdering, at Microsofts politik for sletning af data er tilstrækkelig. Det er KL's vurdering, at denne politik reelt sikrer, at data slettes, når brugeren af systemet sletter data. Muligheden for som bruger reelt at kontrollere dette er ikke anderledes end hos enhver anden ekstern leverandør af datadrift og -opbevaring.
KL har henvist til Microsofts beskrivelse af processen omkring sletning af data. Heraf fremgår bl.a., at alle henvisninger til de omhandlede data fjernes ved en sletning, samt at de fysiske bits bliver overskrevet, når lagerenheden bliver anvendt til lagring af andre data, som det er typisk med standard computer harddiske.
KL har anført, at organisationen har samme grad af sikkerhed for, at data er slettede, som hos andre eksterne leverandører af IT-drift og services. Men et fysisk bevis for forholdet kan ikke etableres.
2.8. Sikkerhedsbristen
KL har oplyst, at der i forbindelse med omlægningen af driften skete en fejl i opsætningen, så kørelærerne fik adgang til oplysninger om andre kørelærere. Det er beklageligt og er efterfølgende rettet så hurtigt som muligt.
KL har oplyst, at det er KL's og NNIT A/S' opfattelse, at den opståede akutte sikkerhedsbrist alene skyldes fejl i omlæggelse af driften og ikke som sådan kan tilskrives manglende sikkerhed på en cloud-platform. En flytning til en anden traditionel platform kunne have givet samme problemer. Uanset årsagen til de opståede problemer, beklager KL de uhensigtsmæssigheder, forsøget på at omlægge driften har haft for brugerne.
KL har oplyst, at der ikke er indberettet fejl fra andre brugere end kørelærerne, der i perioder har haft adgang til andet end egne data. Pågældende kørelærere har så i perioder haft adgang til data om andre kørelærere og disses elever/aspiranter. Som ovenfor anført er der ca. 2.500 brugere med kørelærerprofil fordelt på antageligt 2.000 forskellige brugere.
KL har oplyst, at NNIT A/S, som varetager den praktiske drift af løsningen, bl.a. har forklaret, at der var tale om såkaldt session take-over. Der er ifølge oplysninger fra Kommuneinformation A/S, der varetager 1. level support, tale om, at tre kørelærere har haft adgang med session take-over på nærmere angivne tidspunkter. Navne og brugernavne på kørelærerne er kendt for KL.
KL har endvidere beskrevet overfor tilsynet, hvordan brugeradgangen er tilrettelagt under normale omstændigheder, samt hvilke systemer og køreprøvesystemet integrerer med. Ifølge KL har der ikke været mulighed for, at uvedkommende har haft adgang til CPR eller andre kommunale systemer med oplysninger fra CPR.
Den skete fejl betød, at brugere, der er logget på systemet i enkelte perioder, har "overtaget" andre samtidige brugeres rettigheder, herunder adgang til brugers data. Der har derfor været tilfælde, hvor brugere uberettiget har haft adgang til tilfældige, andre samtidige brugeres data. Der er ikke tale om, at samtlige oplysninger har været tilgængelige for alle brugere, men brugere har uretmæssigt haft adgang til en tilfældig anden brugers data.
2.9. Gennemgang af loggen
KL har oplyst, at sammenhængen mellem bruger og rolle i sessionen ikke er kompromitteret, og dermed opfatter systemet ikke dette som fejl, og data vises for den givne rolle som specificeret. Dette forhold gør, at der ikke er informationer i loggen, der afslører, at en given bruger har overtaget en anden brugers session.
KL har oplyst, at der intet er, der tyder på, at de brugerprofiler, der har været logget på i perioden med fejl, har udvist unormal adfærd.
2.10. Underretning af de berørte personer
KL har oplyst, at det primært var oplysninger om kørelærere, der var kompromitterede i en kort periode. På baggrund af de indkomne fejlmeldinger og de efterfølgende analyser er det ikke KL's opfattelse, at der har været misbrug af oplysninger. Fejlen betød, at enkelte kørelærere i perioder har haft adgang til oplysninger om andre kørelærere og deres elever. En fejl, KL vil søge at sikre ikke gentager sig.
KL har oplyst, at systemet er bygget og i dag anvendes således, at den enkelte elevs data oftest er tilgængelige for flere (alle) kørelærere i samme skole. De kørelærere, der har direkte kontakt med eleven, må antages at være "vedkommende", mens køreskolens øvrige lærere er "uvedkommende". I praksis kan der ikke skelnes, og kørelærerne administrerer selv elevoplysningerne, så det er hensigtsmæssigt for såvel køreskole som elev.
KL har oplyst, at KL ikke har informeret de berørte om hændelsen men vil gøre det, når der er overblik over konsekvenserne, og årsagerne til det midlertidige nedbrug er klarlagt. Det er dog KL's opfattelse, at kørelærerne og deres fagforening(er) er vidende om problemet.
KL har siden nedbruddet i samarbejde med sin leverandør på området arbejdet på at forebygge nye nedbrud og samtidig øge hastighed og brugervenlighed på løsningen. Det er KL's vurdering, at der er overblik over konsekvenserne af nedbruddet, og at der ikke siden er sket yderligere brist udover de allerede kendte. Brugerne har ikke i den forløbne periode indberettet om gentagelse af hændelsen, ligesom KL ikke i den forløbne periode har konstateret nedbrud med sikkerhedsmæssige konsekvenser.
2.11. Forholdet til kommunerne
KL har oplyst, at det er KL's opfattelse, at de kommunale borgerserviceenheder er bekendt med den sikkerhedsbrist, der desværre opstod i forbindelse med omlægningen.
KL har videre oplyst, at KL sammen med kommunerne vil overveje, i hvilket omfang der skal ske ændringer i beslutningsprocesserne vedrørende den fremtidige organisering og drift af systemet.
KL har videre oplyst, at KL ser frem til at finde en løsning, der fastlægger rollerne på en hensigtsmæssig måde og tager højde for, at kommunerne i fællesskab udvikler og drifter et system, der også anvendes af andre myndigheder og private virksomheder med egne ønsker til forretningslogik og systemanvendelse.
3. Datatilsynet skal herefter udtale følgende:
3.1. Dataansvaret i forbindelse med overførslen til cloud-løsningen
Datatilsynet lægger ud fra det i sagen oplyste til grund, at de enkelte kommuner er dataansvarlige for behandlingen af oplysninger i køreprøvesystemet, at beslutningen om at overføre oplysningerne fra køreprøvesystemet til cloud-løsningen Microsoft Azure blev truffet af KL, og at KL således har ageret som selvstændigt dataansvarlig i denne forbindelse.
Efter Datatilsynets opfattelse havde KL ikke hjemmel i persondataloven til at råde over personoplysningerne i køreprøvesystemet som dataansvarlig. Datatilsynet må således konstatere, at KL handlede som dataansvarlig uden at være berettiget dertil.
Datatilsynet har herved lagt vægt på, at det er kommunerne og ikke KL, der varetager myndighedsopgaver omkring kørekort og prøvetilmelding, og derfor er berettiget til i nødvendigt omfang at behandle oplysninger om personerne i systemet.
Datatilsynet har noteret sig det oplyste om, at KL sammen med kommunerne vil overveje, i hvilket omfang der skal ske ændringer i beslutningsprocesserne vedrørende den fremtidige organisering og drift af systemet.
3.2. Anmeldelse til Datatilsynet
Datatilsynet lægger til grund, at den kommunale fællesanmeldelse "Udstedelse af pas og kørekort" omfatter behandlingen af personoplysninger i forbindelse med køreprøvesystemet.1
Datatilsynet lægger endvidere til grund, at hverken Microsoft eller NNIT A/S på noget tidspunkt har været anført som databehandler i denne fællesanmeldelse. Det har heller ikke været anført, at der kunne ske overførsel til et tredjeland.
Det fremgår af persondatalovens § 51, at ændringer i de i § 43, stk. 2, nævnte oplysninger forud for iværksættelsen skal anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.
Datatilsynet må konstatere, at kommunerne/ KL ikke i overensstemmelse med persondatalovens § 51 har fremsendt de fornødne ændringer til fællesanmeldelsen "Udstedelse af pas og kørekort".
Datatilsynet har noteret sig det af KL oplyste om, at KL snarest vil revidere fællesanmeldelsen.
3.3. Sikkerhedsbristen
Datatilsynet lægger ud fra det i sagen oplyste til grund, at køreprøvesystemet for så vidt angår elever indeholder oplysninger om navn, adresse, personnummer samt beståede og ikke-beståede prøver, at systemet for så vidt angår kørelærere indeholder oplysninger om navn, telefonnummer, e-mailadresse og personnummer, at systemet indeholder oplysninger om alle elever, der har fået kørekort siden april 2007, hvor systemet blev sat i drift, at antallet af elever er ca. 80.000 årligt, samt at køreprøvesystemet indeholder oplysninger om ca. 2.000 kørelærere.
Datatilsynet lægger endvidere til grund, at der i forbindelse med omlægning af driften af systemet til en cloud-løsning skete en fejl i opsætningen, at denne fejl betød, at kørelærere, der loggede på systemet i enkelte perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever, samt at i hvert fald tre kørelærere som følge heraf har haft adgang til andre kørelæreres data.
Det fremgår af persondatalovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
I det konkrete tilfælde, hvor personoplysninger som følge af en fejlopsætning har været tilgængelige for uvedkommende, finder Datatilsynet, at kravene om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, ikke har været opfyldt.
Datatilsynet har noteret sig det af KL oplyste om, at fejlen blev rettet så hurtigt som muligt, at KL har siden nedbruddet i samarbejde med sin leverandør har arbejdet på at forebygge nye nedbrud, og at det er KL's vurdering, at der er overblik over konsekvenserne af nedbruddet, og at der ikke siden er sket yderligere brist.
3.4. Håndtering af persondatalovens krav om databehandleraftale og tredjelandsoverførsler'
3.4.1. Databehandleraftale
Datatilsynet lægger ud fra det i sagen oplyste til grund, at KL ikke havde indgået nogen databehandleraftale med Microsoft, og at der heller ikke er indgået databehandleraftaler mellem kommunerne og NNIT A/S.
Ifølge persondatalovens § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
Datatilsynet må konstatere, at KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.
Datatilsynet har noteret sig det af KL oplyste om, at der vil blive rettet op på forholdet vedrørende manglende databehandleraftale, og at der ved en eventuel senere overgang til en cloud-løsning vil blive udarbejdet en passende databehandleraftale.
3.4.2. Overførsel af oplysninger til tredjelande
Persondatalovens § 27, stk. 1, indeholder særlige regler om overførsel af personoplysninger til tredjelande2. Reglerne skal bl.a. iagttages, når personoplysninger flyttes til et datacenter i et tredjeland, eller hvis backup af data eller standby-beredskab, der f.eks. benyttes ved driftsproblemer i det eller de primære datacentre eller ved kapacitetsknaphed, sker i et tredjeland.
Den danske dataansvarlige må via aftalen med cloud-udbyderen sikre sig, at der kun sker tredjelandsoverførsel i det omfang, betingelserne i persondatalovens § 27 er opfyldt.
Det kan f.eks. aftales, at der kun må ske overførsel til virksomheder i USA omfattet af den såkaldte Safe Harbor-ordning3. I så fald skal den dataansvarlige være opmærksom på, at opfyldelse af persondatalovens § 27 ved brug af Safe Harbor-ordningen ikke fritager den dataansvarlige fra at indgå databehandleraftaler efter persondatalovens § 42.
En anden mulighed er, at den dataansvarlige sikrer sig, at der indgås en aftale, der svarer til Kommissionens standardkontrakt4 for overførsel til databehandlere i tredjelande. I så fald skal der indhentes tilladelse5 fra Datatilsynet efter persondatalovens § 27, stk. 4.
Datatilsynet har noteret sig, at det er KL's opfattelse, at data behandlet hos Azure reelt har været opbevaret og behandlet under tilstrækkeligt sikre forhold, men at KL beklager den manglende anmeldelse af forholdet til Datatilsynet.
Datatilsynet må samtidig konstatere, at KL har udtalt, at idet data ikke har været behandlet udenfor EU, er persondatalovens § 27 ikke blevet iagttaget.
På baggrund af de oplysninger fra Microsoft, som KL har refereret i sin udtalelse i sagen, må Datatilsynet imidlertid konstatere, at specifikke data kan have været tilgængelige fra Microsoft Corporation i USA, i det begrænsede omfang driften af Microsoft Windows Azure nødvendiggjorde dette.
KL's begrundelse om, at data ikke har været behandlet uden for EU, er således ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.
3.5. Sletning
Det følger persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Tilsynet har noteret sig det af KL oplyste om, at der nu er påbegyndt en analyse med henblik på at slette oplysninger, der ikke længere er relevante.
I forhold til det oplyste om behovet for at opretholde registreringerne med henblik på at levere data til SKAT til kontrolformål eller statistik data til politiet, skal Datatilsynet understrege, at kommunernes fastlæggelse af sletterutiner i løsningen skal ske ud fra deres egne behov. At en anden myndighed - aktuelt SKAT - kunne tænkes at anmode om oplysninger, kan ikke i sig selv begrunde en opretholdelse af registreringerne, hvis kommunernes formål ikke nødvendiggør fortsat registrering.
Hvis politiet eller SKAT har behov for oplysningerne i statistisk øjemed, må løsningen efter tilsynets umiddelbare vurdering være, at de nødvendige oplysninger videregives til politiet og SKAT med henblik på der at blive behandlet udelukkende i statistisk øjemed. Opretholdelse af kommunernes registreringer med henblik på en eventuel senere videregivelse til andre myndigheder til brug for statistik kan ikke ske, hvis kommunernes egne formål ikke nødvendiggør fortsat registrering.
Med hensyn til sletningen af oplysningerne i Microsofts cloud-løsning må tilsynet på baggrund af sagens oplysninger lægge til grund, at der ved sletningen blev fjernet referencer til oplysningerne, hvorefter de fysiske bits forventes overskrevet ved den løbende brug af løsningen.
På denne baggrund finder Datatilsynet, at der er behov for, at KL indhenter en revisionserklæring fra en uafhængig tredjepart med henblik på at få bekræftet, at oplysningerne fra kommunernes system er blevet slettet uigenkaldeligt i den anvendte cloud-løsning. Tilsynet har herved lagt vægt på, at der er tale om, at personoplysninger - bl.a. omfattende private og fortrolige oplysninger - er overført uden om de dataansvarlige kommuner og uden databehandleraftale.
3.6. Underretning af de berørte personer
Hvis personoplysninger som følge af en sikkerhedsbrist har været tilgængelige for uvedkommende, skal den dataansvarlige myndighed gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5, stk. 1.6 Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet"7.
Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist - afhængigt af de konkrete omstændigheder - følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.
Hvordan underretningen mest hensigtsmæssigt foretages, må vurderes i forhold til den skete sikkerhedsbrist.8
Datatilsynet har noteret sig det af KL oplyste om, at organisationen vil underrette de berørte personer.
4. Datatilsynets konklusioner
Samlet set finder Datatilsynet KL's håndtering af personoplysningerne i køreprøvesystemet meget kritisabel. Tilsynet skal herved navnlig fremhæve følgende forhold:
- KL handlede som dataansvarlig uden at være berettiget dertil.
- Persondatalovens krav om, at oplysninger skal beskyttes med de fornødne sikkerhedsforanstaltninger, blev ikke iagttaget. En opsætningsfejl indebar, at kørelærere, der loggede på systemet i visse perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever.
- KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.
- KL's begrundelse om, at data ikke har været behandlet uden for EU, er ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.
5. Afsluttende bemærkninger
Datatilsynet skal anmode om at modtage underretning om, hvad KL herefter foretager sig med henblik på sikring af, at sletning er sket i cloud-løsningen.
Datatilsynet skal for god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside.
1 KL har tidligere fremsendt ændringer til denne fællesanmeldelse, jf. KL's henvendelse til Datatilsynet af 6. oktober 2008 (vedrørende videregivelse til politiet)
2 Ved "tredjeland" forstås ifølge persondatalovens § 3, nr. 9, en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til persondatadirektivet
3 Hvis man baserer sig på Safe Harbor-ordningen som grundlag for tredjelandsoverførslen, er der ikke krav om tilladelse fra Datatilsynet efter persondatalovens § 27. Private virksomheder skal imidlertid have tilladelse fra tilsynet efter lovens § 50, hvis de overfører følsomme personoplysninger
4 eur-lex.europa.eu/LexUriServ/LexUriServ.do
5 Se nærmere på tilsynets hjemmeside: eu-standardkontrakter
6 Det følger af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt
7 Yderligere oplysninger findes i informationsteksten "Utilsigtet offentliggørelse på internettet" på Datatilsynets hjemmeside, som er tilgængelig via følgende link: utilsigtet offentliggørelse
8 På Datatilsynets hjemmeside er en del praksis omkring dette, herunder såvel tilfælde, hvor underretning skulle ske individuelt, som tilfælde, hvor underretning kunne ske via medierne og myndighedens hjemmeside eller helt undlades