Sikkerhedshændelse med 900.000 personnumre hos CPR-kontoret

Journalnummer: 2014-632-0100

1. Resumé

Datatilsynet vender hermed tilbage til sagen, hvor den såkaldte Robinson-liste, som CPR-kontoret videregiver til en række virksomheder, ved en fejl har indeholdt oplysninger om personnumre på ca. 900.000 personer.

CPR-kontoret underrettede den 3. juli 2014 Datatilsynet om sikkerhedshændelsen, og i brev af 16. juli 2014 er CPR-kontoret efter anmodning fra tilsynet kommet med nærmere oplysninger om det skete.

Datatilsynet er desuden i besiddelse af økonomi- og indenrigsministerens svar på spørgsmål nr. 107 i 2013-14 til Folketingets Kommunaludvalg angående en redegørelse for forløbet i forbindelse med, at 900.000 CPR-numre blev offentliggjort den 2. juli, herunder hvilke tiltag der tages for at undgå, at samme sikkerhedsbrist kan ske igen.

Datatilsynet er endvidere blevet kontaktet af Københavns Politi, som har modtaget godt tyve politianmeldelser i anledning af sikkerhedshændelsen, og som har derfor anmodet om at blive orienteret om Datatilsynets udtalelse i sagen.

2. Beskrivelse af sikkerhedshændelsen

CPR-kontoret har blandt andet oplyst:

• at driften af CPR-systemet, herunder afvikling af den daglige batchproduktion, varetages af CSC Danmark A/S (herefter CSC),
• at der foreligger dokumenter, der fastlægger CPR-kontorets henholdsvis CSC’s opgaver i forbindelse med den daglige batchproduktion,
• at det heraf fremgår, at CPR-kontoret i forbindelse med oprettelse af nye udtræk (batch) udfærdiger den kundeorienterede beskrivelse, inklusive individstruktur, mens CSC udfærdiger den systemorienterede del, og programmet testes af CSC, og der laves dokumentation for den gennemførte test,
• at denne procedure er anvendt, da Robinson-listen i 2000 blev en del af den daglige batchafvikling hos CSC, og at listen siden er dannet hvert kvartal uden personnumre i overensstemmelse med det af CPR-kontoret definerede dataindhold og individstruktur,
• at den omhandlede Robinson-liste grundet en menneskelig fejl blev fremsendt fra CSC til CPR-kontoret uden at være færdigbehandlet og dermed uden at CPR-numrene var fjernet, og uden at CSC havde tjekket listen,
• at CPR-kontoret løbende kontrollerer, at CSC tilrettelægger og opretholder tilstrækkelige generelle it-kontroller via uafhængig it-revision, ligesom der i 2014 er udført en ekstraordinær revision i forbindelse med en større systemomlægning,
• at CPR-kontoret ikke mener at have haft konkret anledning til at kontrollere, at Robinson-listen pr. 1. juli 2014 ville indeholde det af CPR-kontoret definerede dataindhold og individstruktur, samt
• at CPR-kontoret den 3. juli 2014 lagde den omhandlede liste med blandt andet oplysninger om ca. 900.000 personnumre ud på en del af hjemmesiden cpr.dk, hvortil omkring 600 virksomheder havde adgang med brugernavn og password.

3. Datatilsynets udtalelse

Datatilsynet lægger til grund, at CPR-kontoret under Økonomi- og Indenrigsministeriet er dataansvarlig¹ myndighed i forhold til CPR og dermed for enhver behandling af personoplysninger i forbindelse med den pågældende Robinson-liste, herunder blandt andet dannelse, færdigbehandling, kontrol og videregivelse af listen. Datatilsynet lægger endvidere til grund, at CSC er databehandler² for CPR-kontoret.

Efter Datatilsynets opfattelse er det således CPR-kontorets ansvar, at der iagttages de fornødne sikkerhedsforanstaltninger – som krævet efter persondataloven³ og sikkerhedsbekendtgørelsen⁴ – såvel hos CPR-kontoret som hos den anvendte databehandler.

Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Sikring af, at personoplysninger ikke uberettiget offentliggøres eller videregives via en hjemmeside er efter Datatilsynets opfattelse omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger – herunder personnumre – skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Når en del af databehandlingerne som i dette tilfælde udføres af en databehandler på den dataansvarliges vegne, gælder der efter persondataloven og sikkerhedsbekendtgørelsen krav om skriftlig databehandleraftale, instruktion og kontrol fra den dataansvarlige. Den databehandling, som den dataansvarlige overlader til en databehandler, skal ske under iagttagelse af kravene om de fornødne sikkerhedsforanstaltninger – som nærmere beskrevet i sikkerhedsbekendtgørelsen – helt som hvis den dataansvarlige selv havde forestået behandlingen.

Datatilsynet må konstatere, at det via CPR-kontorets hjemmeside har været muligt for uvedkommende at få adgang til oplysninger om ca. 900.000 personnumre i kombination med de berørte personers navne og adresser.

Datatilsynet må i den forbindelse konkludere, at der hos CPR-kontoret og/eller den anvendte databehandler ikke er udvist den fornødne omhu. Efter tilsynets opfattelse har behandlingen af personoplysningerne ikke levet op til kravene om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, og ansvaret herfor påhviler efter tilsynets opfattelse CPR-kontoret som dataansvarlig myndighed.

Datatilsynet finder det skete meget kritisabelt

I det konkrete tilfælde, hvor et meget stort antal personnumre blev gjort tilgængelige for uvedkommende sammen med navne og adresser, finder Datatilsynet det skete meget kritisabelt. Datatilsynet skal herved henvise til, at offentliggørelse af oplysninger om personnummer i kombination med navn og adresse i værste fald ville kunne få alvorlige konsekvenser for en berørt person.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet har i øvrigt noteret sig det af CPR-kontoret oplyste om:

• at listen blev fjernet fra cpr.dk umiddelbart efter, at CPR-kontoret blev bekendt med, at listen indeholdt oplysninger om personnumre,
• at CPR-kontoret i sine logfiler har kunnet konstatere, at listen er downloadet maksimalt 18 gange,
• at CPR-kontoret rettede henvendelse til alle de virksomheder, som kontoret umiddelbart kunne konstatere havde downloadet listen, og meddelte, at listen skulle destrueres,
• at CPR-kontoret kontaktede virksomheder tilmeldt nyhedsbrevet om opdateringer af Robinson-listen og meddelte, at virksomheder, der havde downloadet listen, skulle destruere denne og give CPR-kontoret skriftlig meddelelse derom,
• at CPR-kontoret efterfølgende har modtaget bekræftelse på, at alle downloadede lister i forbindelse med sikkerhedshændelsen er blevet destrueret,
• at CPR-kontoret ved søgninger på internettet ikke har kunnet konstatere, at den pågældende fil er tilgængelig, samt
• at CPR-kontoret løbende holder øje hermed med henblik på i givet fald straks at fjerne oplysningerne fra eventuelle hjemmesider, og at Center for Cybersikkerhed støtter CPR-kontoret i denne proces.

Endelig har Datatilsynet noteret sig det oplyste om:

• at CPR-kontoret har offentliggjort en pressemeddelelse med sammenfattende oplysninger til borgerne om sikkerhedshændelsen,
• at CPR-kontoret som følge af sikkerhedshændelsen umiddelbart har indført en intern procedure med dobbeltkontrol af Robinson-listen, før denne lægges på cpr.dk,
• at CPR-kontoret er i dialog med CSC Danmark A/S om passende sikkerhedsforanstaltninger, samt
• at interne retningslinjer og forretningsgange vedrørende produktion og levering af Robinson-listen vil blive revideret med henblik på at undgå, at situationen gentager sig.

Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside, ligesom en kopi vil blive sendt til Københavns Politi, som har anmodet om at blive orienteret i sagen.

¹ I lovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
² I lovens § 3, nr. 5, defineres "databehandleren" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
³ Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
⁴ Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.