Journalnummer: 2014-632-0102
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af en borgerhenvendelse blev opmærksom på, at der indgik oplysninger om bl.a. to borgeres personnumre i Allerød Kommunes byggesagsarkiv1 på internettet.
Ved e-mail af 14. august 2014 er Allerød Kommune efter anmodning fra Datatilsynet fremkommet med en udtalelse i sagen.
1. Offentliggørelse af personoplysninger på byggesagsarkiv
1.1. Datatilsynet finder det meget beklageligt, at oplysninger om personnumre i mindst to tilfælde har været offentliggjort af Allerød Kommune. Kommunens behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens2 § 41, stk. 3.3
1.2. Datatilsynet har noteret sig det af Allerød Kommune oplyste om, at der er tale om et byggesagsarkiv, samt at der derfor som udgangspunkt ikke er ’personfølsomme’ oplysninger i arkivet, at alle kommunens ansatte, der benytter arkivet, har fået instrukser om, at eventuelle oplysninger med ’personfølsomme’ sager skal være lukkede, og den arkivansvarlige skal informeres, såfremt der dukker en sådan sag frem.
Tilsynet har endvidere noteret sig, at det samlede antal offentliggjorte dokumenter er 598.632, herunder maks. 500 siders håndskrevne dokumenter, at dokumenterne i forbindelse med klargøring af arkivet er blevet gennemgået manuelt for bl.a. at fjerne personnumre og lægeerklæringer mv., samt at leverandøren endvidere foretager maskinel OCR-screening af de skannede byggesager, at byggesagsbehandlere manuelt foretog stikprøvekontroller i arkivet inden offentliggørelsen af dokumenterne på byggesagsarkivet.
Datatilsynet har desuden noteret sig, at kommunen ikke har fået yderligere henvendelse om andre tilfælde af offentliggjorte sager om ’personfølsomme’ oplysninger, at kommunen i forbindelse med offentliggørelsen af personnumrene, foretog en række yderligere screeninger af byggesagsarkivet, at der blev foretaget udvidede søgninger på bl.a. ordene statslån, byggeudgifter, villaparcel, hvilket resulterede i lukning af den hele del ekstra sager, at kommunen endvidere har anset en medarbejder, der opkvalificerer byggesagsarkivet ved at påføre metadata til byggesager, der p.t. er hjemløse.
Tilsynet har endelig noteret sig, at kommunen i forbindelse med digitaliseringen af byggesagsarkivet bestræber sig på at hindre offentliggørelse af ’personfølsomme’ oplysninger, at det specifikt er skrevet ind i kravspecifikationen i udbudsmaterialet, at leverandøren i forbindelse med scanningen skal sikre effektiv sløring af ’personfølsomme’ oplysninger eller i øvrigt fortrolige oplysninger f.eks. personnumre og lægeerklæringer.
2. Afsluttende bemærkninger
Datatilsynet foretager sig herefter ikke yderligere i anledning af sagen.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
1På internetadressen alleroed-borger.filarkiv.dk.
2Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
3Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.