Journalnummer: 2017-311-0667
1. Datatilsynet vender hermed tilbage til sagen, hvor Det Sundhedsvidenskabelige Fakultet på Københavns Universitet ved en fejl har videregivet oplysninger om navne og personnumre på 277 studerende.
Ved e-mail af 12. januar og telefonsamtale af 24. maj 2017 har en studerende ved Det Sundhedsvidenskabelige Fakultet orienteret Datatilsynet om ovennævnte hændelse.
Ved brev modtaget i Datatilsynet den 7. juli 2017 er Det Sundhedsvidenskabelige Fakultet på Københavns Universitet efter anmodning fra Datatilsynet kommet med en udtalelse til sagen.
2. Efter en gennemgang af sagen finder Datatilsynet det meget beklageligt, at personoplysninger (personnumre), som Det Sundhedsvidenskabelige Fakultet på Københavns Universitet er dataansvarlig for, har været tilgængelige for uvedkommende på universitetets system ”Absalon”. Behandlingen af personoplysninger hos Det Sundhedsvidenskabelige Fakultet på Københavns Universitet har efter Datatilsynets opfattelse derfor ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, og sikkerhedsbekendtgørelsen.
3. Datatilsynet har noteret sig det af Det Sundhedsvidenskabelige Fakultet på Københavns Universitet oplyste om, at en studiesekretær ved en fejl havde lagt en holdliste indeholdende de studerendes personnumre på systemet ”Absalon” den 9. januar 2017 kl. 08.36, at listen med personnumre blev fjernet igen samme dag kl. 09.33 (da fejlen blev opdaget), at studiesekretæren ikke var opmærksom på, at der systemmæssigt var genereret en kopi af den slettede liste, som automatisk var lagt i en arkivundermappe i systemet, og at listen blev fjernet fra systemet den 13. januar 2017 efter en henvendelse fra en studerende.
Endvidere har Datatilsynet noteret sig, at Det Sundhedsvidenskabelige Fakultet på Københavns Universitet har oplyst, at holdlisten med personnumre vedrørte 277 studerende, at oplysningerne var tilgængelige for de samme 277 studerende samt omkring 20 undervisere og administratorer, og at adgang til systemet kræver login med et password.
4. For så vidt angår hvilke foranstaltninger, som Det Sundhedsvidenskabelige Fakultet på Københavns Universitet vil træffe på baggrund af hændelsen, har Datatilsynet noteret sig, at Fakultetet internt har indskærpet, at der skal være særligt fokus på, at holdlisterne ikke indeholder personnumre, og at der generelt er et skærpet fokus på procedurerne efter hændelsen.
5. Med hensyn til underretning af de berørte personer har Det Sundhedsvidenskabelige Fakultet på Københavns Universitet oplyst, at fakultetet efter en konkret vurdering har valgt ikke at underrette de studerende, at fakultetet i den forbindelse har lagt særligt vægt på, at oplysningerne var tilgængelige i et lukket system, og at oplysningerne kun kunne tilgås i en meget kort periode.
Datatilsynets skal dertil oplyse, at det følger af tilsynets praksis, at grundreglen om god databehandlingsskik i persondatalovens § 5, stk. 1, - afhængigt af de konkrete omstændigheder – indebærer, at en dataansvarlig myndighed eller virksomhed skal underrette de berørte personer, hvis deres personoplysninger er kommet til uvedkommendes kendskab, eller hvis der har været en risiko herfor. Ved vurderingen af om der i en konkret situation skal ske underretning, skal den dataansvarlige bl.a. tage oplysningernes karakter samt de mulige konsekvenser for de berørte borgere i betragtning.
I en situation som den foreliggende, hvor 277 studerendes personnumre har været tilgængelige for uvedkommende, er det Datatilsynets opfattelse, at Det Sundhedsvidenskabelige Fakultet på Københavns Universitet burde have underrettet de berørte personer. Det af Fakultetet anførte om, at oplysningerne kun har været tilgængelige i et lukket system, og at oplysningerne kun kunne tilgås i en - efter fakultetets opfattelse - meget kort periode kan, efter Datatilsynets opfattelse, ikke føre til et andet resultat. Datatilsynet har i den sammenhæng lagt vægt på, at der er eksempler på, at kompromittering af personnumre er blevet benyttet til f.eks. identitetstyveri, hvorfor de berørte personer kan have behov for at varetage deres interesser, herunder følge med i, at der ikke foretages hævninger på deres private bankkonti eller lignende.
Datatilsynet skal derfor henstille til, at Det Sundhedsvidenskabelige Fakultet på Københavns Universitet snarest muligt underretter de berørte personer.
Datatilsynet foretager sig herefter ikke yderligere i sagen, men skal for en god ordens skyld bemærke, at tilsynet forventer at offentliggøre denne udtalelse.