Klage over behandlingssikkerhed

Publiceret 07-10-2019
Afgørelse Private virksomheder

På baggrund af en klage har Datatilsynet vurderet, at brugen af krypteringsformen oppurtunistisk TLS uden yderligere kontrol i et konkret tilfælde ikke var en tilstrækkelig sikkerhedsforanstaltning.

Journalnummer: 2019-331-0135

Resume

Datatilsynet har behandlet en klage, hvor en borger har klaget over, at Lowell Danmark A/S (herefter Lowell) har sendt fortrolige oplysninger om borgeren ukrypteret over internettet.

Datatilsynet har i en tidligere afgørelse (j.nr. 2019-31-1263) afgjort, at de sikkerhedsforanstaltninger Lowell – i den konkrete sag – havde foretaget på baggrund af deres risikovurdering var passende. Brugen af opportunistisk TLS, var suppleret med en kontrol af om modtagerdomænet understøttede TLS og det fremgik af risikovurderingen, at der i de tilfælde hvor modtagerdomænet ikke kunne modtage TLS blev anvendt anden kommunikationsform end e-mail.

Den væsentlige forskel i forhold til den tidligere afgørelse var, at Lowell i denne sag ikke havde kunnet verificere om modtagerdomænet kunne modtage TLS, og uanset denne manglende verifikation afsendte e-mailen med opportunistisk indstillet TLS 1.2, herudover kunne Lowell ikke godtgøre, om e-mailen rent faktisk var modtaget krypteret.

Derfor finder Datatilsynet i denne sag, hvor det ikke er godgjort, at modtagerdomænet vil kunne modtage mails krypteret med TLS,  at Lowell ikke har kunnet påvise, at behandlingen er sket på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret adgang til personoplysninger, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 22. marts 2019 har klaget til tilsynet over, at Lowell Danmark A/S har sendt fortrolige oplysninger om klager, herunder oplysninger om personnummer og klagers skyldige restancer, ukrypteret over internettet.

Datatilsynet skal indledningsvist bemærke, at tilsynet med denne afgørelse ikke har taget stilling til, om Lowell Danmark A/S har haft samtykke til at kommunikere med klager over e-mails, da databeskyttelsesforordningens[1] kapitel II ikke stiller krav til den dataansvarliges metodevalg ved kommunikation med den registrerede, herunder om kommunikationen skal ske via e-mail eller via en sikker hjemmeside.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Lowell Danmark A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

2.1. Klagers bemærkninger

Klager har overordnet anført, at Lowell Danmark A/S den 22. marts 2019 har sendt fortrolige personoplysninger om klager, herunder oplysninger om personnummer og skyldige restancer, til klagers personlige e-mail via en ukrypteret forbindelse.

Klager har endvidere anført, at han ikke mener at have givet tilladelse til, at Lowell Danmark A/S kan kontakte ham via e-mail.

2.2. Lowell Danmark A/S’ bemærkninger

Lowell Danmark A/S har overordnet afvist, at e-mailen blev sendt via en ukrypteret forbindelse.

Lowell Danmark A/S har anført, at fremsendelsen af den omtalte e-mail har været i overensstemmelse med den risikovurdering, som virksomheden har foretaget i medfør af databeskyttelsesforordningens artikel 32.

Lowell Danmark A/S har videre anført, at alle e-mails afsendt fra virksomheden – som minimum – bliver sendt med Opportunistic Transport Layer Security (TLS) 1.2 med brug af alle de nyeste cipher suites, som Office365 supporterer. Den anvendte cipher suite ved fremsendelserne af den pågældende e-mail til klager har været ”TLS_ECDHE_RSA_WITH_ AES_256_GCM_SHA384”. Lowell Danmark A/S har endelig anført, at de har undersøgt, hvorvidt klagers e-mail understøtter TLS 1.2, og at undersøgelsen viste, at det ikke var muligt at konstatere, hvorvidt klagers e-mail understøtter TLS 1.2.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger til grund, at Lowell Danmark A/S’ afsendelse af den pågældende e-mail af 22. marts 2019 til klager indeholdende fortrolige oplysninger om klager, er blevet sendt med opportunistisk indstillet TLS 1.2 med cipher suite TLS_ECDHE_RSA_WITH_AES _256_GCM_SHA384. Datatilsynet lægger desuden til grund, at den af Lowell Danmark A/S foretagne undersøgelse ikke gjorde det muligt at konstatere, hvorvidt klagers e-mail understøttede TLS 1.2.

Datatilsynet har i en tidligere afgørelse (tilsynets j.nr. 2019-31-1263) konstateret, at opportunistisk TLS på baggrund af en risikovurdering, hvori der indgik en vurdering af om modtagerdomænet kunne modtage TLS i en given version, og hvor mailen kunne modtages krypteret, i det konkrete tilfælde kunne udgøre en passende teknisk sikkerhedsforanstaltning.

I denne sag, hvor det ikke er godgjort, at modtagerdomænet vil kunne modtage mails krypteret med TLS, finder Datatilsynet, at Lowell Danmark A/S ikke har kunnet påvise, at behandlingen er sket på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret adgang til personoplysninger, under anvendelse af passende tekniske eller organisatoriske foranstaltninger, jf. databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.

Datatilsynet har herved lagt vægt på, at Lowell Danmark A/S ikke har kunnet konstatere, at klagers e-mailadresse, hvortil e-mailen blev sendt, understøtter forsendelse med TLS 1.2, og at der er tale om transmission af fortrolige personoplysninger.

På den baggrund finder Datatilsynet, at der er grundlag for at udtale kritik af, at Lowell Danmark A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, jf. artikel 32, stk. 1 og 2.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).