Datatilsynet har udtalt alvorlig kritik af, at Silkeborg Kommune ikke har haft passende sikkerhedsforanstaltninger, idet kommunen sendte en mail med en vedhæftet fil – indeholdende CPR-nummer, skolenavn og skolekode for næsten 13.000 skoleelever – til Danmarks Statistik Consulting. Af kommunens anmeldelse fremgik, at e-mailen ved en menneskelig fejl var blevet sendt uden kryptering.
Kommunen har på baggrund af Datatilsynets høring oplyst, at der på tidspunktet for e-mailens afsendelse var implementeret TLS version 1.1 i kommunen, og det derfor var kommunens formodning, at den pågældende e-mail var krypteret på transportlaget. Kommunen kunne dog ikke dokumentere dette.
Det er generelt Datatilsynets opfattelse, at kryptering på transportlaget ved hjælp af TLS ikke i alle tilfælde er tilstrækkelig sikkerhed, når der sendes mange fortrolige og/eller følsomme personoplysninger - eller hyppige gentagne forsendelser af mange personoplysninger. Endvidere er det tilsynets opfattelse, at TLS 1.1 – som på tidspunktet var implementeret i Silkeborg kommune – på baggrund af kendte sikkerhedssvagheder ikke kan anses som passende sikkerhed til kryptering på transportlaget.
Det er Datatilsynets vurdering, at en kommune, der behandler store mængder fortrolige og/eller følsomme personoplysninger om borgerne, skal sikre sig mod, at store datasæt sendes på en måde, hvor oplysningerne er læsbare. Det gælder også hvis tredjemand modtager e-mailen ved en fejl, hvorfor kommunen skal have rutiner, der sikrer, at også indholdet af denne type forsendelser krypteres, og ikke alene krypteres på transportlaget med TLS.
Denne forpligtelse gælder særligt, når personoplysningerne vedrører børn, der nyder en særlig beskyttelse i databeskyttelsesforordningen.
Yderligere har Silkeborg Kommune ikke kunnet redegøre for, om e-mailen i det hele taget var krypteret eller ej.
Læs selve afgørelsen her.
Læs mere om transmission af personoplysninger via e-mail her.