Journalnummer: 2013-313-0252
Datatilsynet vender hermed tilbage til sagen, hvor klager K har klaget til Datatilsynet over Rebild Kommunes gentagne fremsendelser af fortrolige og følsomme personoplysninger via ukrypteret e-mail.
Datatilsynet må konstatere, at Rebild Kommune har fremsendt e-mails indeholdende følsomme og/eller fortrolige oplysninger via det åbne internet. Kommunens behandling af oplysningerne om klager har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3.
Datatilsynet må desuden lægge til grund, at dette er sket gentagne gange, at det er fortsat efter, at klager har gjort indsigelse, at mindst to forskellige forvaltninger har sendt ukrypterede e-mails med fortrolige og/eller følsomme oplysninger, og at kommunen også har sendt ukrypteret e-mail indeholdende følsomme og/eller fortrolige personoplysninger, efter at Datatilsynet har rettet henvendelse til kommunen og i den forbindelse gjort opmærksom på persondatalovens krav.
Samlet set finder Datatilsynet derfor den manglende efterlevelse af persondataloven og sikkerhedsbekendtgørelsen2 meget kritisabel.
Datatilsynet skal understrege, at Rebild Kommune har ansvaret for, at persondatalovens krav om god databehandlingsskik og behandlingssikkerhed iagttages. Dette indebærer bl.a., at kommunen skal give den fornødne instruktion til medarbejdere, der behandler personoplysninger, og at kommunen skal sikre sig, at de anvendte sagsbehandlingsprocedurer – her i forbindelse med ekstern e-mail – lever op til persondatalovens krav.
Datatilsynet har i øvrigt noteret sig det af Rebild Kommune oplyste om, at kommunens administrationsmedarbejdere har fået indskærpet reglerne for forsendelse af sikker e-mail, og at kommunens it-sikkerhedspolitik bl.a. indeholder retningslinjer for brug af e-post, digital post og sikker forsendelse.
For god ordens skyld kan det oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
Kopi af dette brev er dags dato sendt til klager.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.