Journalnummer: 2014-323-0165
1. Datatilsynet vender hermed tilbage til sagen om offentliggørelse af sager og dokumenter indeholdende bl.a. personnumre i Hvidovre Kommunes byggesagsarkiv på internettet.
Ved e-mails af 25. april og 26. august 2014 samt 22. april 2015 er Hvidovre Kommune fremkommet med udtalelser til sagen.
2. Datatilsynet finder det meget beklageligt, at der er fundet 29 tilfælde af offentliggørelse af personnumre og/eller andre fortrolige eller følsomme personoplysninger i Hvidovre Kommunes byggesagsarkiv. Kommunens behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Hvidovre Kommune har i den forbindelse bl.a. oplyst, at der i de fundne tilfælde har været tale om, at ”personnummer” ikke fremgik af den liste over ord, som byggesagerne er blevet maskinelt gennemsøgt for, at Hvidovre Kommune har været i dialog med databehandleren Dansk Scanning A/S med henblik på at skærpe overholdelsen af persondatalovens regler, at listen over ord, der søges efter, nu er suppleret med yderligere ord, at kommunens databehandler har kørt en test skanning med den nye liste på 1000 sager, samt at kommunen efterfølgende har anmodet databehandleren om at iværksætte en skanning af resten af Hvidovre Kommune del af weblageret.
3. Datatilsynet har endvidere stillet Hvidovre Kommune spørgsmål om, hvorvidt de søgninger, som der foretages, også kan finde de udvalgte ord, når de er håndskrevne.
Hvidovre Kommune har svaret, at Dansk Scanning A/S overfor kommunen har oplyst, at kørslerne ikke kan finde håndskrevne ord og personnumre. Den nuværende OCR teknologi er avanceret, men endnu er teknologien ikke gearet til håndskrift.
Hvidovre Kommune har i øvrigt oplyst, at kommunen primo 2015 har startet et projekt for udarbejdelse af procedurer, der i endnu højere grad sikrer overholdelse af persondataloven og beskyttelse af fortrolige oplysninger på Weblageret. I den forbindelse har kommunen bl.a. oplyst, at fremadrettet vil samtlige sager blive gennemgået både manuelt og maskinelt.
Datatilsynet må på denne baggrund lægge til grund, at Hvidovre Kommunes offentligt tilgængelige byggesagsarkiv (weblager) rummer et større antal sager, som indeholder håndskrevne dokumenter, der ikke inden offentliggørelsen er blevet gennemgået for at konstatere, om de af kommunen udvalgte ord eller personnumre indgår.
Datatilsynet har i sine tidligere principielle udtalelser1 om offentliggørelse af sagsarkiver og -akter på internettet bl.a. tilkendegivet, at den dataansvarlige myndighed har ansvaret for, at der inden offentliggørelsen sker en nøje gennemgang af hvert enkelt brev eller dokument med henblik på at sikre, at det ikke indeholder fortrolige og/eller følsomme oplysninger.
Datatilsynet finder det på denne baggrund kritisabelt, at Hvidovre Kommune har offentliggjort håndskrevne dokumenter, der ikke er blevet gennemgået med henblik på at sikre, at der ikke indgår oplysninger om personnumre eller andre fortrolige og/eller følsomme personoplysninger. Kommunens behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Datatilsynet skal anmode Hvidovre Kommune om en redegørelse for, hvad kommunen nu agter at foretage sig i anledning af den konstaterede tilsidesættelse af persondatalovens krav. Tilsynet anmoder om, at kommunens svar er tilsynet i hænde senest den 17. august 2015.
4. Selv om kommunen benytter sig af en databehandler – i dette tilfælde Dansk Scanning A/S – er det kommunens ansvar som dataansvarlig at sørge for, at personoplysningerne er beskyttet med de fornødne sikkerhedsforanstaltninger. De nærmere regler findes i persondatalovens §§ 41 og 42. For offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen2 og sikkerhedsvejledningen3.
Gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Det følger af persondatalovens § 42, stk. 2. Endvidere fremgår det af sikkerhedsvejledningen § 7, stk. 1, at hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren.
Hvidovre Kommune har vedlagt kopi af kontrakten mellem Hvidovre Kommune og Dansk Scanning A/S. Denne kontrakt ses imidlertid ikke at omtale iagttagelse af persondataloven eller sikkerhedsbekendtgørelsen, ligesom det ej heller fremgår, at Dansk Scanning A/S alene handler efter instruks fra Hvidovre Kommune. Efter tilsynets umiddelbare vurdering lever kontrakten ikke op til persondatalovens krav til en databehandleraftale.
Som nævnt ovenfor har Hvidovre Kommune tillige oplyst, at kommunen primo 2015 har startet et projekt for udarbejdelse af procedurer, der i endnu højere grad sikrer overholdelse af persondataloven og beskyttelse af fortrolige oplysninger på Weblageret. Projektet skal bl.a. resultere i databehandleraftale med Dansk Scanning A/S.
Datatilsynet skal indskærpe, at Hvidovre Kommune ved overladelse af behandling af personoplysninger til en databehandler skal indgå en skriftlig databehandleraftale, som lever op til kravene i persondataloven og sikkerhedsbekendtgørelsen.
Tilsynet skal samtidig understrege, at Hvidovre Kommune i forbindelse med benyttelse af Dansk Scanning A/S som databehandler også har pligt til at påse, at kravene om sikkerhedsforanstaltninger overholdes hos databehandleren, jf. herved sidste led i persondatalovens § 42, stk. 1.
5. Afsluttende bemærkninger
Datatilsynet afventer herefter svar på, hvad Hvidovre Kommune nu agter at foretage sig i anledning af den konstaterede tilsidesættelse af persondatalovens krav som beskrevet i afsnit 3 ovenfor.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.
1Datatilsynets j.nr. 2012-632-0001. Kommunes offentliggørelse af byggesagsarkiv på internettet www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-offentliggoerelse-af-personoplysninger-paa-internettet-vejle-kommunes-jnr-851500-p/ og tilsynets j.nr. 2004-322-0064. Vedrørende offentliggørelse af sagsakter og postlister på internettet www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/vedroerende-offentliggoerelse-af-sagsakter-og-postlister-paa-internettet/
2Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.