Journalnummer: 2017-632-0206
1. Datatilsynet vender hermed tilbage til sagen, hvor Herfølge Krisecenter har opbevaret personoplysninger, herunder følsomme personoplysninger, om krisecenterets beboere i en mappe på Køge Kommunes R-drev, som ikke blev logget, og hvor alle ansatte i krisecenteret havde adgang til mappen på drevet, uden at der var foretaget en vurdering af den enkelte ansattes behov for at kunne tilgå oplysningerne.
Ved brev af 18. januar 2017 har Socialtilsyn Øst orienteret Datatilsynet om Herfølge Krisecenters behandling af personoplysninger. Det fremgår af henvendelsen, at Socialtilsyn Øst siden 14. december 2015 har anbefalet Herfølge Krisecenter at anskaffe et journaliseringssystem med henblik på at overholde persondatalovens regler, og at Herfølge Krisecenter tilsyneladende behandler almindelige personoplysninger omfattet af persondatalovens § 6 og følsomme personoplysninger omfattet af persondatalovens §§ 7-8.
Ved brev og e-mail modtaget i Datatilsynet den 6. marts 2017 og 2. januar 2018 er Køge Kommune efter anmodning fra tilsynet kommet med udtalelser til sagen. Køge Kommune har i den forbindelse bl.a. bekræftet, at kommunen er dataansvarlig for den behandling af personoplysninger, som finder sted i Herfølge Krisecenter, og at oplysningerne fra Socialtilsyn Øst er i overensstemmelse med den viden, som Køge Kommune har.
2. Efter en gennemgang af sagen finder Datatilsynet det kritisabelt, at personoplysninger, herunder følsomme personoplysninger, om Herfølge Krisecenters beboere har været opbevaret i en mappe på Køge Kommunes R-drev, som ikke blev logget, og hvor alle ansatte i krisecenteret havde adgang til mappen, uden at der var foretaget en vurdering af den enkelte ansattes behov for at kunne tilgå oplysningerne. Datatilsynet ser det som en skærpende omstændighed, at Socialtilsyn Øst siden december 2015 har påpeget forholdet overfor Herfølge Krisecenter, og at Herfølge Krisecenter først i starten af 2017 har taget et fagsystem i brug, som overholder sikkerhedsbekendtgørelsens regler. Køge Kommunes behandling af personoplysninger har efter Datatilsynets opfattelse derfor ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, og sikkerhedsbekendtgørelsens § 19, stk. 1, og § 11, stk. 2.
3. Datatilsynet har noteret sig, at Køge Kommune har oplyst, at Herfølge Krisecenter i starten af 2017 har taget et nyt fagsystem i brug, som opfylder sikkerhedsbekendtgørelsens regler, at alle beboernes personoplysninger er opbevaret fuldt og endeligt i dette system fra den 28. marts 2017, at personoplysninger om tidligere beboere er kopieret fra R-drevet til en USB Harddisk med krypteret adgang, som opbevares i et dobbelt aflåst arkiv/sikkerhedsskab, og at personoplysningerne om nuværende og tidligere beboere i Herfølge Krisecenter er blevet fjernet fra R-drevet.
Tilsynet foretager sig herefter ikke yderligere i sagen.
Kopi af dette brev er dags dato sendt til Socialtilsyn Øst til orientering.
Det skal for en god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.