Journalnummer: 2017-632-0208
Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet på baggrund af artikler fra 16. marts 2017 på Kristeligt Dagblads og Version 2s internetsider er blevet bekendt med, at Kirkeministeriet tilsyneladende har henvist folkekirkens ansatte til at bruge Dropbox og iCloud, og at Kirkeministeriet tilsyneladende har haft to sikkerhedshændelser, én hvor uvedkommende i 2014 kunne få adgang til ansættelseskontrakter og andre personoplysninger i Ribe Stift, og én hvor uvedkommende i september 2016 fik adgang til adgangskoder til flere sogns mailkommunikation.
Ved brev modtaget i Datatilsynet den 8. april 2017 og e-mail modtaget den 8. marts 2018 er Kirkeministeriet efter anmodning fra tilsynet kommet med to udtalelser til sagen.
1. Dropbox og iCloud
Datatilsynet har noteret sig, at Kirkeministeriet har oplyst, at Dropbox og iCloud er på en liste over programmer, som må installeres på de pc’er, som er tilsluttet det lukkede netværk, som Folkekirkens It, som er en del af Kirkeministeriet, varetager driften af (Kirkenettet), at det er tilladt at anvende mail og internet til private formål fra en brugers konto på Kirkenettet, at listen med de pågældende programmer er offentliggjort på folkekirkens Digitale Arbejdsplads, hvor det også fremgår, at der i Dropbox og iCloud kun må gemmes dokumenter og filer, der ikke indeholder personoplysninger eller andre fortrolige/følsomme oplysninger, at de lokale sikkerhedsansvarlige fører tilsyn med brugernes ”it-adfærd”, og at Kirkeministeriet ikke er dataansvarlig for folkekirkens ansattes eventuelle behandling af personoplysninger i Dropbox og iCloud.
På ovennævnte baggrund, og særligt henset til, at Kirkeministeriet på folkekirkens Digitale Arbejdsplads har beskrevet, at der ikke i Dropbox eller iCloud må gemmes dokumenter og filer, som indeholder personoplysninger, foretager Datatilsynet sig ikke yderligere i forhold til dette spørgsmål.
2. Sikkerhedshændelsen i 2014
Datatilsynet har noteret sig, at Kirkeministeriet har oplyst, at den beskrevne sikkerhedshændelse skyldtes, at en supportmedarbejder hos Folkekirkens It (Kirkeministeriet) den 23. august 2013 havde bistået en medarbejder i Ribe Stift med at flytte dokumenter, herunder ansættelsesbeviser og andre private dokumenter, fra en defekt pc til en ny pc, at supportmedarbejderen havde lagt de pågældende dokumenter på supportdrevet men glemt efterfølgende at slette dokumenterne herpå, at dokumenterne blev fjernet fra supportdrevet den 11. januar 2014 efter en henvendelse fra en Kirkenetbruger den 10. januar 2014, og at Ribe Stift er dataansvarlig for den behandling af personoplysninger, som finder sted i Ribe Stift, og som var berørt af sikkerhedshændelsen.
Da Ribe Stift (og ikke Kirkeministeriet) er dataansvarlig for den behandling af personoplysninger, som var berørt af sikkerhedshændelsen, foretager Datatilsynet sig ikke yderligere i forhold til Kirkeministeriet.
3. Sikkerhedshændelsen i 2016
Datatilsynet har noteret sig, at Kirkeministeriet har oplyst, at adgangskoder til sognenes administrationsmodul på sogn.dk i en 3 timers periode den 30. august 2016 var tilgængelige for brugere, der i forvejen var autoriseret som Kirkenetbrugere, at sogn.dk er en hjemmesideportal med adgang til informationssider om samtlige folkekirkens sogne og kirker, at oplysningerne på sogn.dk er offentligt tilgængelige, ligesom oplysningerne i administrationsmodulet vises for offentligheden, at en Kirkenetbruger med adgangskoderne ikke kunne se eller kompromittere mails, men derimod ville kunne logge ind på det enkelte sogns administrationsmodul og her f.eks. ændre eller tilføje en træffetid eller oprette en ny gudstjeneste for det pågældende sogn.
Endvidere har Datatilsynet noteret sig, at Kirkeministeriet har oplyst, at menighedsrådene er dataansvarlige for de enkelte sogns eventuelle behandling af personoplysninger i administrationsmodulet på sogn.dk, mens Folkekirkens It (Kirkeministeriet) udvikler og har driftsansvaret for sogn.dk.
På ovennævnte baggrund, og særligt henset til, at menighedsrådene (og ikke Kirkeministeriet) er dataansvarlige for de enkelte sogns eventuelle behandling af personoplysninger i administrationsmodulet på sogn.dk, foretager Datatilsynet sig ikke yderligere i forhold til Kirkeministeriet.
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.