Låge nr. 16

Utilsigtet offentliggørelse af personoplysninger

Utilsigtet offentliggørelse af personoplysninger fordelt på hændelsestyper (2020/2021)

Siden uge 17 i 2020 – hvor Datatilsynet begyndte at klassificere anmeldelser i hændelsestyper – frem til uge 44 i 2021 har Datatilsynet modtaget 1696 anmeldelser om sikkerhedsbrud vedrørende utilsigtet offentliggørelse af personoplysninger.

I første halvår af 2021 modtog Datatilsynet 523 (ud af halvårets i alt 4131) anmeldelser om sikkerhedsbrud, der vedrørte utilsigtet offentliggørelse af personoplysninger. Godt halvdelen af disse sikkerhedsbrud (269) var anmeldt af landets kommuner.

Hvad er en offentliggørelse?

Når Datatilsynet visiterer sikkerhedsbrud, kan bruddene blive kategoriseret som omhandlende "offentliggørelse" af mange årsager. Der er grundlæggende tale om personoplysninger, som er gjort tilgængelige for en bredere skare – i modsætning til f.eks. oplysninger sendt til en enkelt forkert modtager.

F.eks.: 

  • En meddelelse i AULA var tiltænkt et specifikt forældrepar, men blev ved en fejl sendt til alle forældre til børn i en klasse.

  • En borgers personnummer fremgår af en byggesag i en kommunens web-arkiv (tilgængeligt for hele verden).

  • Personoplysninger skjult i grafen i en distribueret PowerPoint (metadata).

  • Personoplysninger lagt i en mappe på et serverdrev, hvor alle medarbejdere har adgang. Denne kan evt. kategoriseres som noget andet afhængig af omstændighederne – f.eks. "manglende adgangsbegrænsning".

  • En e-mail blev sendt til mange modtagere uden brug af Bcc, hvorved alle kan se de øvrige modtageres e-mailadresse og evt. også uddrage andre personoplysninger om modtagerne ud fra mailens emne.
Afgørelse

Klage over offentliggørelse af personnummer på kommunal hjemmeside

Datatilsynet udtalte kritik af, at Vejen Kommune ikke havde sikret et tilstrækkeligt sikkerhedsniveau i forbindelse med offentliggørelse af oplysninger på kommunens hjemmeside. Sagen var taget op på baggrund af en klage og blev forelagt Datarådet.

Sagen kort

I forbindelse med at Vejen Kommune skulle publicere et høringssvar, der var indsendt af en borger via digital post, kom kommunen ved en fejl til at offentliggøre borgerens personnummer, som fremgik af signaturbeviset.

Datatilsynet har i forbindelse med sagens afgørelse udtalt, at det følger af kravet om passende sikkerhed, at materiale, som en dataansvarlig modtager eller udarbejder med henblik på offentliggørelse, og hvor materialet ofte indeholder personoplysninger, skal gennemføre kontrolforanstaltninger med henblik på at undgå utilsigtet offentliggørelse.

Sådanne kontrolforanstaltninger indebærer efter Datatilsynets opfattelse som minimum en forudgående proces for at gennemgå materialet og alt efter personoplysningernes karakter og omfang vil det normalt også være en passende sikkerhedsforanstaltning at gennemføre en supplerende forudgående manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret som tiltænkt.

Vil du vide mere?

Du kan læse hele afgørelsen her.

Jule-flashback

Mandagsmyten den 26. juli 2021

MANDAGSMYTEN: ”Vi har installeret screeningsværktøjer på vores website (web crawler), så vi behøver ikke gennemgå dokumenter forud for offentliggørelse for at sikre, at eventuelle personoplysninger er slettet eller anonymiseret."
 
Nej, et online screeningsværktøj er ikke tilstrækkeligt. De fleste screeningsværktøjer fanger først fejlen, når personoplysningerne er blevet offentliggjort. Det vil sige, at oplysningerne har været tilgængelige for uvedkommende og søgemaskiner i en given tidsperiode.
 
For at leve op til kravet om passende sikkerhedsforanstaltninger skal dataansvarlige derfor sikre sig, at der i tillæg til de online screeningsværktøjer er udarbejdet en procedure for en offline gennemgang/screening af dokumenterne inden offentliggørelse, og at de relevante medarbejdere er oplært i, hvordan de fjerner eller anonymiserer personoplysninger i de dokumenter, som skal offentliggøres.

Find flere af Datatilsynets GDPR-myter her

Dato: 16-12-2021