Journalnummer: 2015-321-0307
Datatilsynet vender hermed tilbage til sagen, hvor Danmarks Statistisk den 18. februar 2015 orienterede Datatilsynet om, at en anbefalet postforsendelse fra Statens Serum Institut (SSI) til Danmarks Statistik ved en fejl var blevet afleveret til Chinese Visa Application Centre. Brevet, som indeholdt to cd’er med data, var åbent, da Danmarks Statistik modtog det.
Efter anmodning fra Datatilsynet er SSI fremkommet med udtalelser den 20. marts og 10. september 2015.
De to cd’er indeholdt data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012. Cd’erne indeholdt oplysninger om personnumre og helbredsoplysninger, men ikke navn og adresse. Cd’erne var IKKE krypterede.
I den anledning skal Datatilsynet understrege, at SSI’s behandling af personoplysninger skal leve op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 § 41, stk. 32.
Datatilsynet har tidligere – som led i en inspektion af SSI – anbefalet, at datamedier krypteres ved forsendelse med almindelig postforsendelse3. Efter Datatilsynets opfattelse er kryptering ligeledes en relevant og – afhængigt af de konkrete omstændigheder – evt. også en nødvendig sikkerhedsforanstaltning, når datamedier sendes med anbefalet post.
Datatilsynet har noteret sig det oplyste om, at SSI foranlediget af den konkrete henvendelse ændrer sine retningslinjer for fremsendelse af datamedier i breve, således at data fremover altid skal krypteres.
Spørgsmålet om underretning af de berørte personer
Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel om god databehandlingsskik4, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.
SSI har oplyst, at:
”Forskerservice er bekendt med Datatilsynets praksis, hvorefter det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – vil følge af persondatalovens grundregel om god databehandlingsskiks, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer. Ved vurderingen af spørgsmålet om underretning må den dataansvarlige blandt andet tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i betragtning.
Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab.
Det er imidlertid Forskerservices opfattelse, at de oplysninger, der fejlagtigt blev afleveret til Chinese Visa Application Centre, hverken kom andre personer i hænde eller blev set af andre personer.
Forskerservice rettede således umiddelbart efter henvendelse til Chinese Visa Application Centre ved modtagelsen af beskeden om fejlafleveringen fra Danmarks Statistik. Den berørte medarbejder hos Chinese Visa Application Centre fortalte, at hun havde modtaget brevet, kvitteret for dette og åbnet det ved en fejl. Idet hun konstaterede, at brevets rette modtager var Danmarks Statistik, gik hun over til Danmarks Statistik og afleverede brevet. Forskerservice har bedt om skriftlig bekræftelse på dette (bekræftelse vedlagt som bilag 4). Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger
Det er på baggrund heraf Forskerservices vurdering, at det ikke har haft nogen faktiske konsekvenser for de personer, hvis data fejlagtigt af Post Danmark blev udleveret til – men ikke set af – en medarbejder hos Chinese Visa Application centre, hvorfor Forskerservice ikke mener, at der skal gives information til de berørte personer eller offentligheden på baggrund heraf.”
Datatilsynet har noteret sig det oplyste om SSI’s overvejelser og kan efter omstændighederne tiltræde konklusionen om ikke at fremsende individuel information til de berørte personer.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.
Datatilsynet foretager sig ikke yderligere i sagen.
______________________________________________
1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven..
3Datatilsynets udtalelse af 17. juni 2013 (j.nr. 2012-621-0004)
4Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.