Journalnummer: 2012-321-0047
1. Resumé
Datatilsynet vender hermed tilbage til sagen, hvor Fængselsforbundet har klaget over arrestforvarernes fjernadgang til tv-overvågningen i Kriminalforsorgens arresthuse.
I klagen er bl.a. henvist til, at en del af personalet har reageret meget skarpt på nye retningslinjer, som Kriminalforsorgen udmeldte ved brev af 2. juni 2010. Medarbejderne mener, de nye retningslinjer lægger en psykologisk barriere på deres mulighed for at udøve deres arbejde frit. For personalet er der en væsentlig forskel på at vide, at chefen sidder på kontoret og holder øje med én via kamera, til ikke at vide, om chefen mon overvåger én i dette øjeblik.
Arrestforvarerne har hidtil kunnet gennemgå lagrede optagelser, men for personalet er det en væsentlig forandring at føle sig konstant overvåget og kontrolleret, når man er på arbejde. Fængselsforbundet har svært ved at forstå Kriminalforsorgens argumentation for fjernadgangen. Hvis der er tale om en krisesituation, vil enhver ansvarlig leder efter forbundets opfattelse indfinde sig i arresthuset hurtigst muligt og ikke forsøge at styre situationen fra sin bærbare computer på hjemmekontoret. Hvis der er tale om adgang til lagret materiale, har arrestforvareren allerede før den nye ordning adgang hertil fra sit kontor i arresthuset.
Efter anmodning fra Datatilsynet er Kriminalforsorgen fremkommet med en række udtalelser, som Fængselsforbundet har haft lejlighed til at kommentere.
Kriminalforsorgen har bl.a. oplyst, at arresthusene siden 2004 har haft mulighed for at få direktoratets godkendelse til at opsætte kameraer, der overvåger gangarealer, fælles opholdsarealer og yderområder. Overvågningen gør det muligt for arrestforvareren og andre i arresthuset hurtigt at gøre sig bekendt med episoder, der udgør en sikkerhedsmæssig risiko, f.eks. overfald, vold eller undvigelse. Overvågningen gør det endvidere muligt for personalet hurtigt at kunne tilkalde hjælp, og det vil efterfølgende være muligt at rekonstruere hændelsesforløbet. Tv-overvågningen sker efter Kriminalforsorgens opfattelse i kriminalitetsforebyggende øjemed. Der benyttes såkaldte divarer (Bosch Divar videooptagere). Efter Kriminalforsorgens opfattelse kan den omstændighed, at der nu er adgang for arrestforvareren til at se optagelserne på en bærbar computer på sin private bopæl, ikke i sig selv anses for at ændre på lovligheden af overvågningen i forhold til persondatalovens regler.
2. Etableringen af tv-overvågning
Datatilsynet har noteret sig oplysningerne fra Kriminalforsorgen om, at overvågningen er etableret af hensyn til både de ansattes og indsattes sikkerhed samt for at begrænse de indsatte i at begå strafbart forhold og hindre undvigelser.
Efter Datatilsynets opfattelse kan den etablerede overvågning ikke antages at være i strid med persondataloven1 .
3. Fjernadgangen for arrestforvarerne
Datatilsynet har noteret sig oplysningerne fra Kriminalforsorgen om, at adgangen til at tilgå overvågningsbillederne fra en ekstern lokation giver Kriminalforsorgen mulighed for under og i forlængelse af en kritisk situation at anvende både live streaming og lagrede billeder af gangarealer, gårdtursanlæg samt arresthusets perimeter – men ikke personaleopholdsrum eller andre kontorer.
Efter Datatilsynets opfattelse kan fjernadgangen til tv-overvågningen ikke antages at være i strid med persondataloven. Adgangen skal imidlertid indrettes under iagttagelse af persondatalovens og sikkerhedsbekendtgørelsens2 krav om de fornødne sikkerhedsforanstaltninger. Se nærmere i afsnit 4.
Fængselsforbundets argumenter imod den etablerede fjernadgang til overvågningen kan efter tilsynets opfattelse ikke føre til andet resultat.
Datatilsynet lægger herved vægt på det oplyste om, at fjernadgangen til tv-overvågningen fra arrestforvarernes hjem er etableret af sikkerhedsmæssige årsager og ikke med det formå at kontrollere de ansatte, at der efter Kriminalforsorgens opfattelse kan opstå krisesituationer, som nødvendiggør at arrestforvareren fra f.eks. bopælen har brug for straks at sætte sig ind i situationen eller kan være til hjælp for personalet i den givne situation. Scenariet kunne efter det oplyste f.eks. være en gidselstagningssituation, oprør mv., hvor der kan være behov for, at nogen udefra kan danne sig et overblik – også inden politiet går ind i arresthuset mv.
4. Sikkerhed
4.1. Særlige retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter
4.1.1.
Kriminalforsorgen har i udtalelsen af 11. juni 2012 bl.a. oplyst, at
”Kriminalforsorgen ikke har udarbejdet særlige retningslinjer, da Kriminalforsorgens system er lukket og kun kan tilgås ved hjælp af brugernavn og et password, ligesom alle databevægelser logges. Man skal som bruger først være logget ind på Kriminalforsorgens standardarbejdsplads for at kunne tilgå optagelserne, dvs. det er ikke muligt at komme ind i systemet på anden vis.”
4.1.2.
Af § 7, stk. 2, i sikkerhedsbekendtgørelsen fremgår:
”Hvis behandling af personoplysninger finder sted på en pc-arbejdsplads uden for den dataansvarlige myndigheds lokaliteter, skal myndigheden fastsætte særlige retningslinier herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstaltninger iagttages.”
4.1.3.
I vejledningen3 til sikkerhedsbekendtgørelsen har Datatilsynet givet vejledning om indholdet af de retningslinjer, som skal fastsættes.
I sikkerhedsvejledningen anfører tilsynet således bl.a. følgende:
”Ved arbejde fra en hjemmearbejdsplads finder anvendelsen af data sted i et andet miljø. Mens der i forbindelse med arbejde på den almindelige arbejdsplads gennem lang tids praksis er indarbejdet rutiner og adfærd, som sikrer en forsvarlig behandling af data, eksisterer der ikke på forhånd en tilsvarende praksis, som sikrer, at behandlingen af data fra en hjemmearbejdsplads sker med tilsvarende sikkerhed.
Der er derfor en række forhold, som der skal tages stilling til. Af de sikkerhedsmæssige problemområder, som skal vurderes, kan bl.a. nævnes:
Lokal lagring af oplysninger. Hvis det er nødvendigt, at hjemme-pc'en ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, bør oplysningerne krypteres.
Lokal udskrivning af oplysninger. Hvis det ikke kan undgås, at der skal udskrives oplysninger på hjemme-pc'en, skal der fastsættes regler og gives instruktion vedrørende opbevaring og tilintetgørelse af udskrifter, så oplysningerne ikke kommer uvedkommende til kendskab.
Anden anvendelse af hjemme-pc'en. Hvis den dataansvarlige tillader anden anvendelse, f.eks. til privat brug, skal der fastsættes retningslinier for denne anvendelse og etableres de nødvendige sikkerhedsforanstaltninger i forbindelse dermed.
Fysisk sikkerhed. I hjemmemiljøet må det forventes, at den fysiske sikring mod tyveri, hærværk og uvedkommendes adgang i det hele taget ikke vil være på højde med forholdene på den almindelige arbejdsplads. Særligt ved lokal lagring af oplysninger og lokal udskrivning må opmærksomheden rettes mod dette punkt. Endvidere kan muligheden for aflytning af datatransmissionen ved fysisk indgriben i telefonlinier være større i dette miljø.
….”
4.1.4.
Datatilsynet må ud fra det oplyste lægge til grund, at Kriminalforsorgen ikke har fastsat særlige retningslinjer for behandling af personoplysninger på de pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter, som kan benyttes til at tilgå tv-overvågningen i arresthusene.
Efter Datatilsynets opfattelse er der – uanset det oplyste om brug af Kriminalforsorgens system, og at brugerne forudgående skal være logget ind på Kriminalforsorgens standardarbejdsplads – behov for og krav om, at der fastsættes retningslinjer i overensstemmelse med sikkerhedsbekendtgørelsens § 7, stk. 2, herunder om de ovenfor nævnte forhold, som er omtalt i sikkerhedsvejledningen.
Kriminalforsorgen har således ikke efterlevet sikkerhedsbekendtgørelsens § 7, stk. 2, og har efter tilsynets opfattelse heller ikke levet op til persondatalovens krav om, at dataansvarlige myndigheder skal beskytte personoplysninger med de fornødne sikkerhedsforanstaltninger (lovens § 41, stk. 3).
I lyset af, at de omhandlede pc’er giver adgang til tv-overvågning af personer som afsoner – dvs. personoplysninger af følsom karakter vedrørende strafbare forhold – finder Datatilsynet det kritisabelt, at sikkerhedsbekendtgørelsens krav om særlige retningslinjer ikke er iagttaget.
Datatilsynet anmoder Kriminalforsorgen om at oplyse, hvordan og hvornår myndigheden vil leve op til bestemmelsen i § 7, stk. 2, i sikkerhedsbekendtgørelsen.
4.2. Kryptering ved transmission via internettet
Som svar på Datatilsynets specifikke spørgsmål om kryptering har Kriminalforsorgen i udtalelser af 30. oktober 2012 henvist til det oplyste i udtalelsen af 11. juni 2012 om, at:
”Kriminalforsorgens system er lukket og kun kan tilgås ved hjælp af brugernavn og et password, ligesom alle databevægelser logges. Man skal som bruger først være logget ind på Kriminalforsorgens standardarbejdsplads for at kunne tilgå optagelserne, dvs. det er ikke muligt at komme ind i systemet på anden vis.”
Datatilsynet finder, at persondatalovens og sikkerhedsbekendtgørelsens krav om fornødne sikkerhedsforanstaltninger indebærer, at der skal anvendes kryptering ved transmission fra tv-overvågningen og optagelserne herfra via internettet. Der henvises til sikkerhedsbekendtgørelsens § 14 med tilhørende vejledning.
Datatilsynet lægger herved vægt på, at der er tale om tv-overvågningsbilleder af personer, der afsoner i Kriminalforsorgens institutioner.
Datatilsynet kan ikke ud af svaret fra Kriminalforsorgen se, om der anvendes kryptering ved transmissionen via internettet.
Datatilsynet skal derfor henstille, at Kriminalforsorgen indretter løsningen med kryptering, såfremt dette ikke allerede er sket.
Datatilsynet skal anmode om at modtage underretning om, hvorvidt der anvendes eller vil blive anvendt kryptering ved transmission via internettet.
4.3. Login ved brugernavn og password
Efter det oplyste sker arrestforvarernes login via internet ved brug af brugernavn og password.
Når der er adgang til følsomme oplysninger – i dette tilfælde tv-overvågning omfattende personer der afsoner – stiller dette efter tilsynets opfattelse større krav til den sikkerhedsløsning, der vælges.
Datatilsynet skal derfor henstille, at Kriminalforsorgen indretter løsningen med en ekstra sikkerhedsfaktor ved login, f.eks. ved brug af medarbejder NemID.
Datatilsynet skal anmode om underretning om, hvordan og hvornår Kriminalforsorgen højner sikkerheden omkring login.
4.4. Anvendelse af fælles password og logning
4.4.1.
Efter det oplyste skal fængselsbetjentene i forbindelse med tilbagespoling på divaren og tilgang til lagrede billeder benytte et dele-password. Det tjenestegørende personale kan imidlertid ikke udtage optagelser og ej heller tilgå optagelser fra bærbare computere. Denne adgang har alene ledere med et unikt password.
Det er endvidere oplyst, at den tjenestegørende fængselsbetjent kun kan udnytte adgangen til at spole tilbage på divaren, for f.eks. at se en episode i arresthuset, fra en computer i arresthuset. Denne computer har den pågældende kun adgang til ved at benytte brugernavn og eget unikt password til Kriminalforsorgens it-system. Derefter skal fængselsbetjenten anvende et fælles password til divaren. Det oplyses i den forbindelse, at alle computere i Kriminalforsorgen går i dvale efter 10 minutter, hvorefter der først kan åbnes op igen ved brug af brugernavn og password. Det er ikke muligt at udskifte det fælles password til divaren.
4.4.2.
Efter det oplyste sker der altid logning, når nogen benytter Kriminalforsorgens it-system. Dette sker med tidsangivelse i det øjeblik, en medarbejder har fået adgang med brugernavn og password. På divarens log kan ses, at der er blevet logget ind på et givent tidspunkt og med hvilket password.
Kriminalforsorgen har endvidere henvist til, at man via det enkelte tjenesteds tjenesteplaner kan finde frem til, hvem der har været på vagt i arresthuset i et givent tidsrum. Det er Sikkerhedsenhedens opfattelse, at forholdende i forbindelse med at kunne se optagelser – både live streaming og lagrede – fra kameraovervågning i et arresthus foregår på en så sikker måde, som det er muligt.
4.4.3.
Datatilsynet bemærker, at tv-overvågning er fritaget fra anmeldelsespligten efter persondataloven4. Tv-overvågning er derfor som udgangspunkt ikke underlagt de særlige sikkerhedskrav for anmeldelsespligtige behandlinger, som er fastsat i sikkerhedsbekendtgørelsen kapitel 3, herunder logningskravet i bekendtgørelsens § 19.
Datatilsynet finder imidlertid anledning til at understrege, at en logning, der blot viser, at der er blevet logget ind på et givent tidspunkt og med hvilket password, ikke er en logning som krævet efter sikkerhedsbekendtgørelsens § 19. Datatilsynet bemærker herved, at loggen ikke viser, hvilke konkrete anvendelser af personoplysninger der er sket.
Datatilsynet skal henstille, at Kriminalforsorgen ved fremtidig udskiftning eller opgradering af den anvendte løsning overvejer, om der er behov for en egentlig logning af anvendelserne af optagelserne. I fald der etableres en sådan logning, bør de anvendte passwords også være individuelle og bør kunne udskiftes.
5. Afsluttende bemærkninger
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
Kopi af dette brev er dags dato sendt til Fængselsforbundet.
Datatilsynet afventer herefter svar fra Kriminalforsorgen vedrørende:
- hvordan og hvornår myndigheden vil leve op til bestemmelsen i
§ 7, stk. 2, i sikkerhedsbekendtgørelsen
- underretning om, hvorvidt der anvendes eller vil blive anvendt kryptering ved transmission via internettet
- underretning om, hvordan og hvornår Kriminalforsorgen højner sikkerheden omkring login.
Svar bedes fremsendt, så det er Datatilsynet i hænde senest 3 uger fra dags dato.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 Jf. persondatalovens § 26 c