Sikkerhedsbrist i forbindelse med det tidligere Århus Amts offentliggørelse af PowerPointpræsentationer på sundhed.dk

Publiceret 30-05-2008
Historisk afgørelse Offentlige myndigheder

Journalnummer: J.nr. 2007-632-0019

Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra Århus Amt.

Ved brev af 23. november 2007 anmodede Datatilsynet derfor Region Midtjylland om en udtalelse.

I brev af 11. december 2007 er Region Midtjylland fremkommet med en udtalelse. Regionen er desuden kommet med supplerende oplysninger i e-post af 2. marts 2008.

Det fremgår herefter af sagen, at der på Sundhed.dk har været offentliggjort to PowerPoint-præsentationer indeholdende personoplysninger fra Århus Amt. PowerPoint-udgaven af den ene præsentation indeholdt en indlejret Excel-fil med oplysninger om personnumre og diagnoser på over 25.000 personer.

PowerPoint-udgaven af den anden præsentation indeholdt oplysninger om navne, personnumre og andre oplysninger fra 164 børn.

De to præsentationer blev den 22. november 2007 fjernet fra Sundhed.dk på Datatilsynets foranledning.

Region Midtjylland har oplyst, at offentliggørelsen må anses for foretaget med Århus Amt/Region Midtjylland som dataansvarlig myndighed. Der er iværksat en grundig undersøgelse af, hvem og på hvilken dato offentliggørelsen har fundet sted på Sundhed.dk. 

Region Midtjylland har iværksat fjernelse af de omtalte præsentationer og underliggende materiale.

Ifølge det oplyste er præsentationerne - ud over den skete offentliggørelse - ikke afsendt i udgående post og er alene blevet videregivet i printet form, hvori underliggende data ikke er tilgængelig.

I retningslinier, udarbejdet i det tidligere Århus Amt, er der truffet forholdsregler mod uberettiget videregivelse af personoplysninger ved f.eks. offentliggørelse på hjemmesider.

I Region Midtjylland pågår aktuelt et udvalgsarbejde med henblik på udarbejdelse af nye retningslinier på dette område. Retningslinier fra Århus Amt er - sammen med tilsvarende retningslinier fra de øvrige amter, som er sammenlagt i Region Midtjylland - indtil videre blevet anvendt i Region Midtjylland og gældende for de hospitaler, der inden strukturreformen henhørte under ovennævnte amter. Dette vil fortsat være gældende, indtil nye retningslinier er fuldt udarbejdet og besluttet i regionen.

Retningslinierne, som indeholder regler og vejledninger til sikring bl.a. mod den skete offentliggørelse af personoplysninger, er beskrevet i informationssikkerhedspolitikker, som i lighed med ovenstående indtil videre er gældende for regionen. De gældende retningslinier for hospitalerne i Århus Amt fremgår af retningslinier fra tidligere Århus Amt.

Der findes ikke sikre oplysninger om, at alle medarbejdere - herunder de i offentliggørelsen involverede medarbejdere - har modtaget skriftlig instruktion i håndtering af personoplysninger. Det kan derfor ikke med sikkerhed fastslås, om de involverede medarbejdere har været eller burde have været bekendt med de for Århus Amt gældende retningslinier for offentliggørelse.

Forklaringen på den utilsigtede offentliggørelse må formodes at hænge sam-men med ukendskab til funktionelle konsekvenser af anvendelse af Excel-filer i PowerPoint præsentationer.

Region Midtjylland vil, gennem intranet og ledelsessystem, oplyse om og indskærpe de gældende retningslinier. Der udarbejdes umiddelbart enkle retningslinier for anvendelse af PowerPoint-præsentationer i relation til opbevaring, lagring, udsendelse, offentliggørelse af præsentationer - herved også regler for, hvordan og i hvilken form præsentationer må lægges på regionens servere og på internettet.

Region Midtjylland vil ved indskærpelse af ovennævnte retningslinier tage nødvendige forholdsregler til sikring af, at der ikke fremtidigt sker uberettiget offentliggørelse af personoplysninger. Regionen vil yderligere sikre, at alle
medarbejdere får kendskab til publikationen "Gemmer I på skjulte data i Officefiler" fra IT- & Telestyrelsen november 2007.

Region Midtjylland har iværksat en screening af samtlige internetsider, som er under Regionens ansvar for at sikre mod offentliggørelse af personoplysninger. I et supplerende svar af 2. marts 2008 har regionen oplyst, at screeningen af samtlige internetsider, som er under regionens ansvar, fortsat er i gang.

Vedr. oplysning til de berørte borgere er følgende oplyst:

Angående den først omtalte præsentation, der indeholder en Excel-fil, hvori der i tilknytning til en graf er indlejret fil med oplysninger om personnumre og diagnoser på over 25.000 personer, har regionen rettet henvendelse til Århus Stiftstidende for herigennem at gøre de berørte borgere klar over det skete.

Denne fremgangsmåde - og ikke personlig henvendelse til de berørte borgere - er valgt under hensyn til:

  • at de offentliggjorte oplysninger er fjernet fra Sundhed.dk og fra regionens servere straks da man blev opmærksom på fejlen,
  • at der ved offentliggørelsen blot er oplyst om personernes personnumre og diagnoser, men ikke andre personlige oplysninger
  • at der er tale om en persongruppe på over 25.000 og at søgning af alle personer og efterfølgende direkte personlig henvendelse forudsætter uforholdsmæssig stor ressourceanvendelse.

Angående den anden præsentation, der indeholder oplysninger om navne, personnumre og andre oplysninger om 164 børn, som også findes indlejret i en Excel-fil vil regionen tage kontakt til samtlige berørte borgere - dvs. til
forældremyndighedsindehavere til de berørte børn - med et personligt brev med beklagelse af hændelsen og en forklaring.

Brevet vil blive udsendt snarest og tilsendt Datatilsynet til orientering.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at Århus Amt/Region Midtjylland har offentliggjort to PowerPoint-præsentationer indeholdende personoplysninger fra Århus Amt. PowerPoint-udgaven af den ene præsentation indeholdt en indlejret Excel-fil med oplysninger om personnumre og diagnoser på over 25.000 personer. PowerPoint-udgaven af den anden præsentation indeholdt oplysninger om navne, personnumre og andre oplysninger fra 164 børn.

I det konkrete tilfælde, hvor personnumre og diagnoser er blevet offentliggjort, finder Datatilsynet ikke, at Århus Amt/Region Midtjylland har udvist den fornødne omhu, og Århus Amt/Region Midtjylland har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig Region Midtjyllands oplysninger om de skridt, der påtænkes taget, for at undgå en lignende offentliggørelse i fremtiden. Da der ved regionens svar fortsat var en række udeståender, har Datatilsynet fortsat behov for oplysninger i sagen. Se nærmere nedenfor.

 Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra. I den konkrete sag har der ikke været tale om registrering i Google.

I relation til de 25.000 personer, som har fået offentliggjort personnumre og diagnoser, har Datatilsynet noteret sig Region Midtjyllands redegørelse om regionens overvejelser og konklusion om at orientere de berørte 25.000 gen-nem omtale i medierne.

Datatilsynet har endvidere noteret sig det af Region Midtjylland oplyste om underretning ved personlige breve til forældremyndighedshaverne til de 164 børn, der har fået offentliggjort såvel navne som personnumre samt andre op-lysninger.

Datatilsynet ønsker herefter følgende belyst:

Datatilsynet skal anmode om at få oplyst, om den iværksatte screening af samtlige internetsider, som er under regionens ansvar, er tilendebragt, og hvad resultatet har været.

Datatilsynet ønsker endvidere oplyst, om det beskrevne udvalgsarbejde med henblik på udarbejdelse af nye retningslinier på dette område er tilendebragt, herunder de omtalte retningslinier for anvendelse af PowerPointpræsentationer. Retningslinerne for anvendelse af PowerPointpræsentationer bedes indsendt til Datatilsynet.

Datatilsynet skal endvidere anmode om, at Region Midtjylland som lovet sender Datatilsynet en kopi af det brev, som er sendt til forældremyndighedsinehaverne til de 164 børn.

Datatilsynet skal endelig anmode Region Midtjylland om at oplyse, i hvilket omfang regionen har undersøgt, om de omhandlede præsentationer findes lagret på regionens edb-udstyr.

Region Midtjyllands svar på ovenstående bedes fremsendt til Datatilsynet senest den 1. august 2008.

Afsluttende bemærkninger

Datatilsynet afventer herefter svar fra Region Midtjylland.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.