Journalnummer: 2015-632-0154
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet via omtale i medierne1 blev opmærksom på, at følsomme oplysninger om medarbejdere i Odder Kommune havde været tilgængelige for uvedkommende via internetadgang til en medarbejders private server, som ifølge medieomtalen ikke havde været beskyttet med et kodeord.
I brev af 12. november 2015 er Odder Kommune efter anmodning fra Datatilsynet kommet med en udtalelse i sagen.
Datatilsynet må lægge til grund, at referater fra samtaler mellem en række ansatte og kommunens arbejdspsykolog i perioden fra april 2013 til marts 2015 har været lagret på en medarbejders private server, efter at medarbejderen havde overført en række dokumenter fra kommunens netværk til en USB-nøgle og herefter gemt dokumenterne på den private server. Ifølge Odder Kommune skyldes det en fejl, at medarbejderen tog oplysningerne med hjem. Herefter blev oplysningerne tilgængelige for uvedkommende, ifølge Odder Kommune fordi en anonym person hackede sig ind på serveren. Den anonyme person oplyste selv direkte til medarbejderen, at der lå følsomme personoplysninger på serveren, og anbefalede medarbejderen at få det slettet, hvilket medarbejderen straks gjorde.
Datatilsynet finder det kritisabelt, at følsomme personoplysninger, som Odder Kommune er dataansvarlig for, har været lagret på en medarbejders private it-udstyr, hvor kommunen ikke har kontrol med datasikkerheden. Efter tilsynets opfattelse har Odder Kommunes behandling af personoplysningerne ikke levet op til kravene om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 32.
Datatilsynet har noteret sig det af Odder Kommune oplyste om, at kommunen ikke tillader, at medarbejderne behandler personoplysninger, som kommunen er dataansvarlig for, ved brug af private computere ol., at kommunen for at sikre, at persondataloven og sikkerhedsbekendtgørelsen iagttages fremover, vil følge op på kommunens interne sikkerhedsbestemmelser, og at kommunen allerede har haft et særligt indslag herom på et ledermøde.
Datatilsynet skal i den forbindelse opfordre til, at Odder Kommune intensiverer sin indsats med at sikre, at kommunens retningslinjer om, at personoplysninger, som kommunen er dataansvarlig for, ikke må behandles på medarbejderes private it-udstyr, er kendt og overholdes af alle medarbejdere.
Datatilsynet skal endvidere opfordre til, at Odder Kommune fastsætter retningslinjer for, hvorvidt og i givet fald under hvilke sikkerhedsforanstaltninger oplysninger fra kommunens systemer må kopieres over på USB-nøgler.
Datatilsynet finder desuden anledning til at indskærpe overfor Odder Kommune, at kommunens informationssikkerhedshåndbog, som udgør kommunens uddybende sikkerhedsregler3, skal gennemgås mindst én gang hvert år med henblik på at sikre, at reglerne er fyldestgørende og afspejler de faktiske forhold, at sikkerhedsbekendtgørelsen4 også stiller krav om, at Odder Kommune skal fastsætte retningslinjer for kommunens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for kommunen, samt at Odder Kommune skal give den fornødne instruktion5 til de medarbejdere, der behandler personoplysninger.
Datatilsynet har noteret sig det oplyste om Odder Kommunes overvejelser vedrørende information til de berørte personer og kan efter omstændighederne tiltræde konklusionen om ikke at fremsende individuel information til de berørte personer6. Datatilsynet har herved lagt vægt på det oplyste om dokumenternes alder, samt at det alene er kommunens arbejdspsykolog, der har kunnet identificere de berørte personer, idet dokumenterne var delvist anonymiserede.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.
_____________________________
1 Der henvises til Ekstra Bladets artikel af 1. november 2015 med overskriften ”Dybt fortrolige stress-samtaler lå frit fremme”.
2 Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
3 Som krævet efter sikkerhedsbekendtgørelsens § 5.
4 Jf. sikkerhedsbekendtgørelsens § 5, stk. 1, sidste punktum.
5 Jf. sikkerhedsbekendtgørelsens § 6 og persondatalovens § 41.
6 Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.