Journalnummer: 2014-313-0449
Datatilsynet vender hermed tilbage til sagen, hvor [udeladt], har klaget til Datatilsynet over Københavns Kommunes fremsendelse af fortrolige og følsomme oplysninger om hende via ukrypterede e-mails. Klager har bl.a. oplyst til, at hun i 2009 klagede til Borgerrådgiveren i København over manglende IT-sikkerhed i Beskæftigelses- og Integrationsforvaltningen i Københavns Kommune, og hun finder det uforståeligt og dybt kritisabelt, at Københavns Kommune ikke efterlever den kritik, som Borgerrådgiveren i den anledning udtalte i marts 2010.
Datatilsynet finder det kritisabelt, at Københavns Kommune gentagne gange har sendt ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger om klager, samt at Københavns Kommune fortsat har sendt ukrypterede e-mails indeholdende fortrolige og følsomme oplysninger efter at have modtaget anmodninger fra klager om alene at fremsende sådanne oplysninger via almindelig post eller krypteret e-mail. Københavns Kommunes behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 31.
Københavns Kommune, Jobcenter København, Center for Arbejdsfastholdelse, har bl.a. oplyst, at oplysningerne er sendt fra en medarbejders egen e-mailadresse på et tidspunkt, hvor oplysningerne ikke kunne krypteres ved denne sendeform, at dette var i strid med kommunens it-sikkerhedsregler, at det på tidspunktet for fremsendelsen af de pågældende e-mails var muligt at sende sikker post fra særligt oprettede e-mailpostkasser, samt at der nu er oprettet mulighed for at medarbejderne kan sende krypterede mails fra egen mailpostkasse.
Københavns Kommune har desuden oplyst, at kommunens medarbejdere jævnligt modtager information om den korrekte måde at sende elektronisk post på, at det på baggrund af den konkrete sag er blevet indskærpet over for kommunens medarbejdere, at mail-dialoger med borgere skal sendes som sikker post, og at ønsket om en hurtig service over for borgeren fortsat påkræver overholdelse af it-sikkerhedsreglerne.
Sagen giver Datatilsynet anledning til at indskærpe, at Københavns Kommune har ansvaret for, at persondatalovens krav om god databehandlingsskik og behandlingssikkerhed iagttages. Dette indebærer bl.a., at kommunen skal give den fornødne instruktion til medarbejdere, der behandler personoplysninger, og at kommunen skal sikre sig, at de anvendte sagsbehandlingsprocedurer – her i forbindelse med ekstern e-post – lever op til persondatalovens krav.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Persondatalovens sikkerhedskrav, som for offentlige myndigheder er nærmere uddybet i sikkerhedsbekendtgørelsen og i Datatilsynets vejledning dertil, omfatter bl.a. krav om:
- Uddybende sikkerhedsregler med en opdateret beskrivelse af, hvordan myndigheden efterlever persondataloven og sikkerhedsbekendtgørelsen, og i det hele taget hvorledes sikkerhedsarbejdet i forbindelse med behandling af personoplysninger iagttages – se nærmere i sikkerhedsbekendtgørelsens § 5.
- Retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
- Krav om instruktion af medarbejderne.