Journalnummer: 2014-313-0389
Datatilsynet vender hermed tilbage til sagen, hvor Klager [navn og adresse udeladt], ved e-mails af 17. marts 2014 med bilag har klaget over:
• At Sønderborg Kommune har sendt fortrolige og følsomme
oplysninger om klagers kone og datter via ukrypteret e-mail.
Efter en gennemgang af sagen finder Datatilsynet, at Sønderborg Kommune ikke har levet op til kravene i persondatalovens § 41, stk. 3.
Idet Datatilsynet tidligere har udtalt kritik af, at Sønderborg Kommune har sendt ukrypterede e-mails indeholdende fortrolige og følsomme personoplysninger, finder Datatilsynet, at Sønderborg Kommunes manglende overholdelse af persondataloven er meget kritisabel.
Det bemærkes i samme forbindelse, at Datatilsynet sideløbende med denne sag behandler en endnu ikke afsluttet sag, hvor Sønderborg Kommune bl.a. også har sendt en ukrypteret e-mail til en borger indeholdende fortrolige og følsomme personoplysninger i Sønderborg Kommune.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
1. Fremsendelse af ukrypteret e-mail indeholdende fortrolige og følsomme personoplysninger
1.1. Sagens omstændigheder
Det fremgår af sagen, at Sønderborg Kommune – ved e-mail af 17. marts 2014 – har sendt en e-mail indeholdende fortrolige og følsomme oplysninger om klagers kone og datter via det åbne internet.
1.2. Klagers argumenter
Klager har gjort gældende, at Sønderborg Kommune ved at sende en ukrypteret e-mail med fortrolige og følsomme oplysninger har handlet i strid med persondataloven.
1.3. Sønderborg Kommunes argumenter
Sønderborg Kommune har om baggrunden for at oplysningerne blev sendt til klager anført, at det på et møde med klager var blevet aftalt, at brevet til det Sociale Nævn skulle sendes fra Børn og Unge Teamet til Økonomisk sikring, og samtidigt sendes Cc til klager, således at klager kunne følge med i sagens forløb.
Sønderborg Kommune har samtidigt anført, at det er korrekt at e-mailen blev sendt ukrypteret, og at dette skyldes en forglemmelse hos medarbejderen.
1.4. Datatilsynet skal herefter udtale følgende:
1.4.1.
Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Idet det fremgår af sagen, at Sønderborg Kommune har foretaget elektronisk databehandling lægger Datatilsynet til grund, at denne behandling er omfattet af persondataloven.
1.4.2.
Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Af sikkerhedsbekendtgørelsens § 14 følger endvidere, at der kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
Dette betyder bl.a., at en offentlig myndighed ikke må sende fortrolige og følsomme personoplysninger via det åbne internet, med mindre fremsendelsen sker krypteret.
1.4.3.
Det fremgår af sagen, at Sønderborg Kommune ved e-mail af 17. marts 2014 til klager ukrypteret har sendt fortrolige og følsomme oplysninger om bl.a. klagers datters personnummer og medicinbevilling.
Sønderborg Kommune har således efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, jf. sikkerhedsbekendtgørelsens § 14.
Idet Datatilsynet tidligere flere gange har udtalt kritik af, at Sønderborg Kommune har sendt ukrypterede e-mails indeholdende fortrolige og følsomme personoplysninger, finder Datatilsynet, at Sønderborg Kommunes manglende overholdelse af persondataloven er meget kritisabel.
Datatilsynet skal samtidig på ny henstille til, at Sønderborg Kommune ændrer praksis og fremover sender fortrolige og følsomme personoplysninger via e-mail i krypteret form.
2. Datatilsynet skal anmode om en ny redegørelse
2.1.
Datatilsynet bad i en tidligere sag (Datatilsynets sag med j.nr. 2011-313-0438) Sønderborg Kommune om at underrette Datatilsynet om, hvad kommunen fremadrettet agtede at gøre som følge af kommunens fremsendelse af e-mails indeholdende fortrolige og følsomme personoplysninger i ukrypteret form. Kopi af Datatilsynets afgørelser af 24. oktober og 21. december 2011 vedlægges til orientering.
I den forbindelse oplyste Sønderborg Kommune i en redegørelse af 9. december 2011 bl.a. følgende: At Direktionen var blevet orienteret om Datatilsynets udtalelse af 24. oktober 2011, hvori Datatilsynet bad Direktionen om, at sikre, at reglerne for transmission af fortrolige og følsomme oplysninger via e-mail blev overholdt, at det var blevet besluttet at opprioritere viden om afsendelse af sikker e-mail, at vicekommunaldirektøren ved e-mail af 9. november 2011 havde henstillet til, at samtlige ledere i Sønderborg Kommune sikrer, at alle medarbejdere i kommunen ville overholde persondatalovens regler. I samme e-mail blev vedhæftet en vejledning til, hvordan man sender fortrolige og følsomme oplysninger fra Sønderborg Kommune til borgere, virksomheder m.fl.
Endvidere fremgår det af redegørelsen, at samtlige ledere var blevet bedt om at samle alle medarbejdere i egne afdelinger senest fredag den 18. november 2011 for at give instruks om, hvorledes man må sende fortrolige og følsomme oplysninger via e-mail. Herudover blev materialet fra Datatilsynets hjemmeside, herunder sikkerhedsvejledningen lagt ud på Sønderborg Kommunes Intranet. Kopi af Sønderborg Kommunes redegørelsen vedlægges til orientering.
Sønderborg Kommune har senest ved brev af 24. juni 2014 bekræftet, at kommunen har foretaget de tiltag, som var beskrevet i kommunens redegørelse af 9. december 2011, samt at regler om brug af sikker mail er blevet indskærpet overfor medarbejdergruppen i Børn & Unge Teamet.
2.2.
Det giver umiddelbart Datatilsynet anledning til bekymring, at Sønderborg Kommune – efter at have foretaget ovennævnte skridt – har haft en række sager, hvor det er kommet til Datatilsynets kendskab, at der er sket fremsendelse af ukrypterede e-mails indeholdende fortrolige og følsomme personoplysninger.
Datatilsynet må derfor konstatere, at de tiltag Sønderborg Kommune iværksatte som følge af tilsynets sag med j.nr. 2011-313-0438 ikke har været tilstrækkelige.
På denne baggrund, skal Datatilsynet anmode Sønderborg Kommune om en redegørelse for, hvilke nye tiltag kommunen vil iværksætte med henblik på at sikre, at kommunen fremadrettet overholder persondatalovens § 41, stk. 3.
Tilsynet skal anmode om at modtage denne nye redegørelse senest 4 uger fra dette brevs dato.
3. Afsluttende bemærkninger
Datatilsynet har grundet sagens karakter valgt at stile en kopi af denne afgørelse til Kommunalbestyrelsen i Sønderborg Kommune.
Kopi af afgørelsen er samtidigt sendt til klager.
Datatilsynet betragter i øvrigt sagen som afsluttet i forhold til klager, og afventer herefter Sønderborg Kommunes redegørelse.
Det skal for god ordens skyld bemærkes, at Datatilsynet agter at offentliggøre denne afgørelse på tilsynets hjemmeside.