Journalnummer: 2015-311-0523
1. Datatilsynet vender hermed tilbage til sagen, hvor klager K [navn og adresse udeladt] har klaget til Datatilsynet over utilstrækkelig datasikkerhed hos Styrelsen for Patientsikkerhed i forbindelse med fremsendelse af dokumenter på 900 sider indeholdende sundhedsoplysninger om K.
Efter anmodning fra Datatilsynet er Styrelsen for Patientsikkerhed fremkommet med redegørelser, som K har fået fremsendt og har haft mulighed for at kommentere.
Det fremgår af sagen, at Styrelsen for Patientsikkerhed benytter en løsning benævnt Blue-whale ved fremsendelse af materiale, der fylder mere, end hvad der kan sendes via sikker Digital Post.
Når filer fremsendes via Blue-whale løsningen, fremsender styrelsen links til dokumenterne via e-mail. I en række tilfælde anvendes der pinkode, således at modtageren alene får link til en login-side. Her skal en PIN-kode indtastes for at få adgang til det fremsendte materiale, og filerne beskyttes ved overførslen med HTTPS-kryptering. Pinkoden fremsendes til det mobilnummer, som borgeren har oplyst på klageskemaet eller i forbindelse med sine henvendelser i sagen. I den mail, der fremsendes, er alt indhold fjernet, og emnet er ændret til ”Sikker besked”. Åbning og læsning af både mailens rigtige emne, tekstindhold samt links til dokumenter på Blue-whaleserveren kræver både linket i mailen og den på det oplyste mobilnummer fremsendte pinkode.
I K’s tilfælde sendte styrelsen imidlertid ved en manuel fejl først K en mail med links til dokumenterne, som derefter kunne hentes uden at indtaste en kode.
Efterfølgende sendte styrelsen også K en e-mail med link til en pinkode-beskyttet login-side og sendte desuden en PIN-kode til det mobilnummer, som K havde oplyst overfor Patientombuddet (nu Styrelsen for Patientsikkerhed).
K rettede umiddelbart efter modtagelsen af styrelsens e-mail henvendelse til styrelsen omkring den utilstrækkelige sikkerhed.
2. K har bl.a. anført, at Styrelsen for Patientsikkerhed i forbindelse med imødekommelsen af K’s aktindsigtsanmodning har fremsendt 900 sider indeholdende sundhedsoplysninger om K uden nogen form for sikkerhed.
K har desuden givet udtryk for, at Styrelsen for Patientsikkerheds fortsatte anvendelse af Blue-whale-løsningen indebærer en risiko for, at medarbejdere fortsat fremsender dokumenter uden tilstrækkelig sikkerhed.
Endelig har K anført, at styrelsen allerede ved klagers henvendelser den 25. og 28. september 2015 burde havde undersøgt hans klage grundigt – og ikke først ved Datatilsynets henvendelse.
3. Styrelsen for Patientsikkerhed har bl.a. anført, at når filer fremsendes via Blue-whale løsningen, anvendes der en anerkendt, stærk kryptering (HTTPS/TLS).
Det er oplyst, at styrelsens medarbejder, der stod for fremsendelsen, troede, at den første mail ikke var blevet sendt. Medarbejderen havde efter det oplyste tilbagekaldt mailen. Dette er baggrunden for, at styrelsen i sit svar til K afviste, at styrelsen havde sendt mailen. Styrelsen beklager, at den først efter henvendelsen fra Datatilsynet blev opmærksom på fejlen.
Styrelsen har desuden konstateret, at de tre filer kun er hentet én gang, og styrelsen formoder, at de er hentet af K. Styrelsen har således konstateret, at K er i besiddelse af alle tre filer, og at ingen af filerne er hentet ved hjælp af den mail, der blev sendt korrekt med PIN-kode. Efter styrelsens opfattelse er der i den konkrete situation – trods den manuelle fejl – hverken sket en kompromittering eller en ukrypteret transmission af de følsomme data.
Endelig har Styrelsen for Patientsikkerhed oplyst, at styrelsen er i dialog med leverandøren om at fjerne muligheden for at sende uden pinkode, så der fremover altid kræves to-faktor-validering af modtageren. Indtil dette teknisk kan implementeres, er gældende procedure om altid at anvende pinkode indskærpet.
4. Datatilsynet udtaler i den anledning:
Datatilsynet finder det kritisabelt, at Styrelsen for Patientsikkerhed har lagt dokumenter på 900 sider omfattende helbredsoplysninger på internettet. Styrelsens behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Det forhold, at transmissionen, når dokumenterne hentes via hjemmesiden, sker ved brug af HTTPS-kryptering, ændrer efter Datatilsynets opfattelse ikke på, at oplysningerne var tilgængelige via internettet.
Herudover er det Datatilsynets opfattelse, at Styrelsen for Patientsikkerhed burde have opdaget den skete sikkerhedsbrist i forbindelse med den fejlagtige mail, som en medarbejder forsøgte at tilbagekalde, og burde have taget skridt til at begrænse skadevirkningerne – herunder ved at fjerne dokumenterne fra internettet. Herudover burde styrelsen have reageret på fejlen ved modtagelsen af K’s henvendelser.
Datatilsynet har noteret sig det af styrelsen oplyste, herunder at styrelsen har beklaget, at den først efter henvendelsen til Datatilsynet blev opmærksom på fejlen, og at styrelsen er i dialog med sin leverandør om at fjerne muligheden for at sende uden pinkode, så der fremover altid kræves to-faktor-validering af modtageren. Indtil dette teknisk kan implementeres, er gældende procedure om altid at anvende pinkode indskærpet.
Datatilsynet skal indskærpe styrelsens ansvar for, at medarbejderne er instrueret i, hvordan personoplysninger beskyttes, og at der skal tages effektive skridt til at begrænse skaden, hvis der sker fejl.
5. Datatilsynet foretager sig herefter ikke yderligere i sagen.
Datatilsynet skal afslutningsvist beklage den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.
Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at offentliggøre denne afgørelse på sin hjemmeside. Det vil ske uden angivelse af K’s navn.