Journalnummer: 2017-631-0159
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet via en borgerhenvendelse blev opmærksom på, at oplysninger om personer som abonnerer på meddelelser om stillinger, som er opslået af Novo Nordisk (”Jobagent-siden”) havde været tilgængelige for uvedkommende via internettet.
I brev af 6. februar 2017 er Novo Nordisk A/S efter anmodning fra Datatilsynet kommet med en udtalelse i sagen.
Datatilsynet finder det meget beklageligt, at oplysninger om 95.000 personer fra forskellige lande har været tilgængelige på en testside under novonordisk.com. Behandlingen af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Datatilsynet har noteret sig det af Novo Nordisk A/S oplyste om, at oplysningerne var tilgængelige via en testside, som Novo Nordisk A/S’ eksterne IT-leverandør oprettede i produktionsmiljøet på novonordisk.com, at al behandling af personoplysninger, der foretages af den eksterne IT-leverandør, sker på baggrund af en gyldig og skriftlig databehandleraftale, at der var tale om en menneskelig fejl i strid med godkendte testprocedurer mv., at der ikke optrådte nogen hyperlinks til testsiden på andre dele af Novo Nordisk A/S’ hjemmeside, at testsiden derfor i praksis alene kunne tilgås via søgemaskiner og af avancerede internet crawlers, at Novo Nordisk A/S efter at være blevet bekendt med hændelsen instruerede IT-leverandøren om at deaktivere og slette testsiden, at Novo Nordisk A/S endvidere straks tog tiltag til at fjerne enhver gemt udgave af testsiden fra Google Search søgemaskinen, at det blev bekræftet, at alle gemte udgaver af testsiden var slettet den 1. februar 2017, samt at Novo Nordisk A/S derudover har verificeret, at testsiden ikke optræder på eller er gemt af de 13 største globale søgemaskiner.
Datatilsynet har endvidere noteret sig det oplyste om de forholdsregler, som Novo Nordisk A/S har sikret sig med henblik på at forhindre en gentagelse hos IT-leverandøren, og at Novo Nordisk A/S vil følge op på initiativerne og gennem revision verificere, at de nødvendige procedurer bliver fulgt.
Datatilsynet har endeligt noteret sig det oplyste om, at Novo Nordisk har igangsat en procedure med henblik på at underrette de berørte personer om hændelsen.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.