Journalnummer: 2017-632-0215
1. Datatilsynet vender hermed tilbage til sagen, hvor Frederikshavn Kommune ved en fejl har sendt følsomme personoplysninger, herunder helbredsoplysninger, om flere borgere til en anden uvedkommende borger, og hvor kommunen har sendt de pågældende oplysninger via en ukrypteret e-mail.
Ved brev af 11. juli 2017 er Frederikshavn Kommune efter anmodning fra Datatilsynet kommet med en udtalelse til sagen.
2. Efter en gennemgang af sagen finder Datatilsynet det kritisabelt, at Frederikshavn Kommune ved en fejl sendte et dokument indeholdende følsomme personoplysninger, herunder helbredsoplysninger, om flere borgere til en anden uvedkommende borger, og at oplysningerne samtidig blev sendt via en ukrypteret e-mail. Frederikshavn Kommunes behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, og sikkerhedsbekendtgørelsen.
Datatilsynet har noteret sig det oplyste om, at sikkerhedsbristen skyldes en menneskelig fejl, og at medarbejderen ved en fejl ikke anvendte sikker post ved fremsendelsen.
Herudover har Datatilsynet noteret sig, at Frederikshavn Kommune har oplyst, at kommunen har planlagt, at alle afdelinger får fysisk undervisning i brug af sikker mail, at der vil blive udarbejdet en guide til brug af sikker mail, at kommunens jurist og informationssikkerhedsmedarbejder sammen vil afvikle kurser i tavshedspligt og informationssikkerhed for hele organisationen, og at de berørte borgere er blevet underrettet om sikkerhedsbristen.
Datatilsynet foretager sig herefter ikke yderligere i sagen, men skal for god ordens skyld bemærke, at tilsynet forventer at offentliggøre denne udtalelse.