Journalnummer: 2018-632-0225
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af en henvendelse herom anmodede Kalundborg Kommune om en udtalelse vedrørende uretmæssig adgang til personhenførbare oplysninger på en FTP-server hos kommunen.
Efter anmodning fra Datatilsynet er Kalundborg Kommune ved e-mail og redegørelse af 19. januar 2018 fremkommet med udtalelser til sagen.
Datatilsynet lægger efter det af kommunen i redegørelsen af 19. januar 2018 oplyste til grund, at der er benyttet en usikret FTP-server, at denne var eksponeret mod et af kommunen ikke kontrolleret netværk (i.e. internettet), at der har været tildelt og benyttet delte brugernavne og kendeord, at der ikke har været foretaget nogen segmentering af adgangen til data, at der på serveren er blevet lagret personhenførbare endog særligt følsomme oplysninger, at der er tale om mere end 7000 CPR-numre, mere end 72 tilfælde af fortrolige og eller særligt følsomme oplysninger og, at disse konkret har været tilgængelige for uvedkommende.
Datatilsynet skal herefter udtale følgende:
Det følger af persondatalovens1 § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Bestemmelsen i persondatalovens § 41, stk. 3, indeholder en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes sådan, at kravene i § 41, stk. 3, efterleves.
En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens2 § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.
Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres, eller gøres mulige at tilgå gennem adgange der er etableret til andet formål, er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.
Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, som den foreliggende skal implementeres yderligere organisatoriske eller tekniske foranstaltninger mod, at der ved en fejl gemmes personhenførbare data på en så eksponeret løsning. Særligt når der som her i løsningen er en indbygget latent risiko for, at skabe adgang for flere personer, til en usegmenteret datastruktur mod et usikret netværk der er eksponeret med åben adgang fra internettet.
Særligt såfremt der skal behandles filer indeholdende fortrolige og/eller følsomme personoplysninger, skal der udvises den yderste påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.
Datatilsynet har i 2 nyere sager 2014-623-0042 og 2017-632-0212 fundet det beklageligt henholdsvist meget beklageligt, at Kalundborg Kommune i andre sager, ikke har påset overholdelsen af persondatalovens § 41, stk. 3, særligt er det i begge af disse lagt til grund, at overtrædelsen beror på kommunens manglende sikring af, at have fornødne og effektive organisatoriske foranstaltninger.
Datatilsynet noterede sig i forbindelse med sine tidligere udtalelser kommunens oplysninger om, at kommunen ville arbejde for at undgå lignende fejl, og at kommunen havde udformet nye reviderede sikkerhedsregler for omgang med følsomme oplysninger.
Ifølge det oplyste er sikkerhedsreglerne revideret som planlagt, og medarbejderne er orienteret herom.
Trods de gennemførte tiltag kan Datatilsynet konstatere, at der endnu en gang inden for et kortere tidsrum, er offentliggjort fortrolige personoplysninger fra kommunens side.
Set i lyset af det anførte om risikoprofilen for den valgte tekniske løsning og idet Kalundborg Kommune trods tidligere udtalelser om at sikre de fornødne organisatoriske sikkerhedsforanstaltninger, igen står med en sikkerhedsbrudsag finder Datatilsynet at der er tale om en sag med skærpende omstændigheder.
Datatilsynet finder derfor Kalundborg Kommunes manglende overholdelse af persondatalovens § 41, stk. 3, meget kritisabelt.
Datatilsynet har noteret sig, at Kalundborg Kommune har oplyst, at FTP-løsningen er lukket ned, at der er taget skridt til at få slettet data hos de der uberettiget har fået adgang hertil, at der er sket underretning til samtlige de personer hvis data er blevet eksponeret. Disse personer er informeret om, hvordan de kan varetage deres rettigheder og interesser såfremt der skulle vise sig tegn på misbrug.
I den anledning foretager Datatilsynet sig derfor ikke yderligere.
Til orientering kan det oplyses, at Datatilsynet forventer at omtale sagen på sin hjemmeside.
_______________________________________
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Bekendtgørelse nr. 528 af 15. juni 2000, med senere ændringer