Sikkerhedsbrud i Odense Kommune

Publiceret 11-09-2020

Journalnummer: 2020-442-7724

Resume

Odense Kommune har i maj 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet. Bruddet vedrører et system, der blev sat i drift i maj 2019 – altså et år forud for anmeldelsen – hvor det er muligt digitalt at søge om personligt tillæg eller enkeltydelse. Det er i systemet muligt at gennemføre en ansøgning på en andens vegne, hvilket fx er aktuelt når en sundhedsfaglig person ansøger på vegne af en patient.

Systemet var opsat således, at når en person gennemførte en ansøgning på en borgers vegne, og vedkommende brugte sit personlige NemID, blev personens navn, adresse og personnummer sendt i en kvittering til borgeren via Digital Post.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Odense Kommune den 12. maj 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen og opfølgningen af 29. juni 2020 har følgende referencenumre:

4da291891ee119d908b25ab7ac2c7df15aa0ee7a

5190162b104f7bd0bef4b00806a921f49232fdf4

Odense Kommune har den 24. august og den 1. september 2020 besvaret spørgsmål fra Datatilsynet.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Odense Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Samtidig finder Datatilsynet, at der er grundlag for at meddele Odense Kommune påbud om at undersøge, hvorvidt der uretmæssigt er videregivet oplysninger om registreredes beskyttede adresser, og i bekræftende fald underrette de berørte registrerede, jf. artikel 34, stk. 1 og 2, samt tage kontakt til modtagerne af de pågældende oplysninger med opfordring om, at oplysningerne slettes. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.

Fristen for efterlevelse af påbuddet er den 21. september 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Odense Kommune har den 12. maj 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet, der vedrørte, at en person, f.eks. en fodterapeut, kunne udfylde en ansøgning eller et evalueringsskema på vegne af en borger, og hvis dette skete ved brug af Personligt NemID (i stedet for en Medarbejder/Virksomheds NemID) betød det, at borgeren fik en kvittering indeholdende navn, adresse og personnummer på den, der havde udfyldt ansøgningen/evalueringsskemaet. Dette skete i 51 tilfælde i en periode på 13 måneder.

Det fremgår af sagen, at der den 14. maj 2019 blev idriftsat en løsning, hvorigennem der var mulighed for digitalt at søge om personligt tillæg eller enkeltydelse. Det var muligt for andre end ansøgeren selv, at gennemføre ansøgning. Hvis f.eks. en fodterapeut gennemførte ansøgningen på vegne af ansøgeren, og der blev anvendt et Personligt NemID, bevirkede det, at fodterapeutens navn, adresse og personnummer blev sendt i en kvittering til borgeren (ansøgeren) ved Digital Post, således at kvitteringen havnede i borgerens e-boks.

Odense Kommune har i relation til, hvordan fejlen opstod, oplyst følgende:

Ved udarbejdelse af den digitale løsning, har man ikke været opmærksom på, at oplysninger om anden part blev synlige for ansøger – altså at oplysninger om den der søgte på vegne af en anden/indsendte oplysninger i en sag(fodstatus), blev sendt i form af kvittering til ansøger.

Kommunen har i forhold til test for f.eks. it-sikkerhed oplyst, at der er gennemført test, men der er ikke anvendt et testmiljø og test er derfor slettet. Kommunen har således ikke kunnet fremsende dokumentation for, hvad disse test gik ud på.

Odense Kommune har ved anmeldelsen og opfølgning til anmeldelsen oplyst, at der efterfølgende, den 5. maj 2020, er gennemført nye foranstaltninger. Der sendes således fortsat kvitteringer til borgeren, men nu kun med borgerens personnummer og kun med navn på den person, der gennemfører ansøgningen. På hjemmesiden bliver der endvidere gjort opmærksom på, at det er behandler, der skal udfylde evaluering af fodstatus, og at behandleren skal anvende virksomheds-/medarbejdercertifikat.

Det fremgår af sagen, at Odense Kommune ved opdateringen af anmeldelen den 29. juni 2020 – 24 dage efter hændelsen blev konstateret – ikke havde besluttet, om de berørte personer skulle underrettes om bruddet. Forespurgt, har kommunen oplyst, at de berørte ikke var underrettet pr. 24. august 2020, fordi:

Det vurderes ikke umiddelbart, at bruddet vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, så det vurderes, at det ikke har været nødvendigt at underrette.

Odense Kommune har oplyst, at de borgere, som har modtaget en kvittering i deres e-Boks med en andens personoplysninger, ikke er blevet kontaktet med henblik på at få slettet disse oplysninger. Kommunen har begrundet dette med, at der er tale om ældre borgere, som har fået hjælp i forbindelse med en ansøgning, og ikke vurderes at have bemærket, at der var tale om et cpr-nummer i stedet for et cvr-nummer, og som ville have vanskeligheder med at gennemføre en sletning af de videregivne personoplysninger. Kommunen har endvidere lagt vægt på, at de ikke har modtaget henvendelse fra borgere, der har modtaget en kvittering med personoplysninger vedrørende en anden person i anledning af sikkerhedsbruddet.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af Odense Kommune oplyste til grund, at der utilsigtet er videregivet personoplysninger i form af navne, adresser og personnumre til uvedkommende.

Datatilsynet lægger på den baggrund til grund, at der er sket en uautoriseret videregivelse af personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at man som dataansvarlig skal sikre, at oplysninger om registrerede, herunder særligt beskyttelsesværdige oplysninger, ikke kommer til uvedkommendes kendskab.

Det er endvidere Datatilsynets opfattelse, at kravet i databeskyttelsesforordningens artikel 32, stk. 1, om passende sikkerhed indebærer, at dataansvarlige og databehandlere, som led i udvikling og tilpasning af it-løsninger til behandling af personoplysninger skal sikre, at løsningen testes med henblik på at identificere forhold, som kan føre til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Datatilsynet finder, at Odense Kommune – ved ikke at være opmærksom på den behandling, som skete i kvitteringer sendt til borgere, og ved ikke at teste tilstrækkeligt – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved kommunens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Det er i den forbindelse Datatilsynets opfattelse, at implementering af en funktionalitet, hvorved en person (som ansøgte på vegne af en anden borger) kunne anvende sit personlige NemID, burde give anledning til, at funktionaliteten blev testet, og at et dækkende testforløb kunne og burde have identificeret de pågældende fejl, henunder at personoplysninger i visse tilfælde uretmæssigt fremgik af kvitteringen, som blev genereret af it-løsningen.

Datatilsynet finder således, at der er grundlag for at udtale kritik af, at Odense Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[3] artikel 32, stk. 1.

Som formildende omstændighed har Datatilsynet lagt vægt på, at bruddet angår et begrænset antal registrerede og en begrænset mængde personoplysninger, og ikke oplysninger omfattet af databeskyttelsesforordningen artikel 9 eller 10. Oplysninger om personnummer og beskyttede adresser er dog særligt beskyttelsesværdige personoplysninger.

På baggrund af det oplyste, er det Datatilsynets vurdering, at forløbet vedrørende udviklingen og test af den pågældende it-løsning bærer præg af manglende fokus på behandlingen af personoplysninger, og de risici behandlingen indebar. Tilsynet finder det derfor relevant, at henstille til kommunen at gennemgå sine procedurer for udvikling og test af it-løsninger med henblik på i nødvendigt omfang at adressere disse forhold.

Datatilsynet har endvidere noteret sig, at Odense Kommune 24 dage efter hændelsen endnu ikke havde besluttet, om der skulle ske underretning af de registrerede om bruddet. Tilsynet finder, at det bør kunne gøres hurtigere, når kommunen væsentligt tidligere var klar over, hvad der var sket ved bruddet. Tilsynet skal i den forbindelse bemærke, at underretningen har til formål, at give de registrerede mulighed for varetage sine rettigheder, og mulighederne kan mindskes jo længere tid der går fra bruddet er sket – alt efter omstændighederne ved bruddet.

3.2. Databeskyttelsesforordningens artikel 34

Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Det er Datatilsynets opfattelse, at brud på persondatasikkerheden vedrørende beskyttelsesværdige oplysninger som personnummer og adresse – såfremt adressen er beskyttet – som udgangspunkt indebærer en høj risiko for de berørte borgeres rettigheder, da eksponering af sådanne oplysninger kan indebære alvorlige krænkelser for borgerne, eksempelvis ved krænkelse af borgerens integritet.

Som sagen er oplyst, ses Odense Kommune ikke at have undersøgt, hvorvidt nogle af de berørte adresser er beskyttede i medfør af cpr-loven. Datatilsynet lægger endvidere til grund, at Odense Kommune har besluttet ikke at underrette de registrerede og ikke at tage kontakt til modtagerne af de pågældende oplysninger med opfordring om, at oplysningerne slettes.

Datatilsynet finder, at det kan udgøre en høj risiko, hvis beskyttede adresser har været tilgængelige for uvedkommende, og tilsynet kan i den forbindelse ikke udelukke, at videregivelse af eventuelle oplysninger om beskyttede adresser i den pågældende sag også vil udgøre en høj risiko for de registrerede.

Datatilsynet finder derfor, at der er grundlag for, at Odense Kommune undersøger om nogle af de berørte adresser er beskyttede med henblik på at vurdere, hvorvidt bruddet potentielt kan indebære en høj risiko for individuelle berørte personer, jf. artikel 34, stk. 1.

4. Påbud

Datatilsynet finder derfor grundlag for at meddele Odense Kommune påbud om at undersøge, hvorvidt der uretmæssigt er videregivet oplysninger om registreredes beskyttede adresser, og i bekræftende fald underrettede de berørte registrerede, jf. artikel 34, stk. 1 og 2, samt tage kontakt til modtagerne af de pågældende oplysninger med opfordring om, at oplysningerne slettes. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.

Indholdet i en eventuel underretningen til de registrerede skal opfylde kravene i databeskyttelsesforordningens artikel 34, og dermed i et klart sprog beskrive karakteren af det anmeldte brud på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d.

Fristen for efterlevelse af påbuddet er den 21. september 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[4] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[4] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).