Journalnummer: 2015-632-0121
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet via en borgerhenvendelse blev opmærksom på, at Patientombuddet den 28. november 2014 havde sendt en afgørelse med oplysninger om en række fagpersoner samt detaljerede oplysninger om bl.a. navn, personnummer plus en række helbredsforhold vedrørende en borger til en uvedkommende person via Digital Post.
Ved breve af 10. februar, 24. februar og 3. marts 2015 samt telefonsamtale den 24. februar 2015 er Patientombuddet på Datatilsynets anmodning fremkommet med udtalelser til sagen. Det er bl.a. oplyst, at der var tale om en menneskelig fejl ved valg blandt fremsøgte personer med samme navn som den fagperson, som afgørelsen var tiltænkt.
Datatilsynet finder samlet set Patientombuddets behandling af personoplysninger og Patientombuddets efterfølgende håndtering af sikkerhedsbristen kritisabel.
Nedenfor følger en nærmere beskrivelse af det skete og Datatilsynets vurdering heraf.
Fremsendelse af afgørelse til uberettiget modtager
Datatilsynet må lægge til grund, at Patientombuddet den 28. november 2014 via Digital Post sendte en afgørelse med oplysninger om bl.a. en borgers helbredsforhold og personnummer til en uvedkommende person. Patientombuddets behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 3.
Datatilsynet har noteret sig det af Patientombuddet oplyste om, at Patientombuddet på ny over for sagsbehandlerne har præciseret vigtigheden af opmærksomhed omkring valg af sagsparter i forbindelse med afsendelse af Digital Post.
Underretning af berørte personer og sletning af afgørelsen hos den uberettigede modtager
Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer. Ved vurderingen af spørgsmålet om underretning må den dataansvarlige bl.a. tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i betragtning. Efter tilsynets praksis vil det endvidere kunne være påkrævet, at den dataansvarlige påser, at data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere. Disse pligter følger efter tilsynets opfattelse af kravet om god databehandlingsskik, jf. persondatalovens § 5, stk. 12.
Datatilsynet må lægge til grund, at Patientombuddet – trods kendskab til sikkerhedsbristen3 – først underrettede de berørte personer herom efter tilsynets indledende brev til Patientombuddet af 29. januar 2015.
Tilsynet må endvidere lægge til grund, at Patientombuddet først efter tilsynets telefoniske henvendelse4 anmodede den uberettigede modtager om returnering af det fejlagtigt fremsendte materiale i en vedlagt frankeret kuvert5, og at Patientombuddet først efter en yderligere telefonisk henvendelse fra tilsynet6 anmodede den uberettigede modtager om at slette afgørelsen fra sin digitale postkasse. Det bemærkes herved, at Datatilsynet allerede ved sin første henvendelse til Patientombuddet7 henledte opmærksomheden på pligten til påse, at data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere.
På denne baggrund er det Datatilsynets opfattelse, at Patientombuddet håndtering af sikkerhedsbristen ikke har levet op til kravet om god databehandlingsskik.
Samlet vurdering
Datatilsynet finder samlet set Patientombuddets behandling af personoplysninger og Patientombuddets efterfølgende håndtering af sikkerhedsbristen kritisabel.
Datatilsynet skal understrege, at det påhviler den dataansvarlige myndighed eller virksomhed at overholde persondataloven og regler fastsat i medfør af loven, herunder sikkerhedsbekendtgørelsen8, som gælder for den offentlige forvaltning.
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at tilsynet agter at informere om sagen på sin hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 For så vidt angår Datatilsynets praksis vedrørende den dataansvarliges pligter ved sikkerhedsbrister kan henvises til tilsynets hjemmeside: www.datatilsynet.dk/offentlig/sikkerhedsbrister/
3 Jf. e-mail af 30. november 2014 fra den uberettigede modtager til Patientombuddet og omtale af sagen i en avis den 15. december 2014 med udtalelser fra Patientombuddet
4 Den 24. februar 2015
5 Det fremgik af bilag til tilsynets brev af 29. januar 2015, at materialet tilsyneladende var blevet printet
6 Den 2. marts 2015
7 I brev af 29. januar 2015
8 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning