Sikkerhedsbrist på Statens Serum Instituts hjemmeside i form af PowerPointpræsentation indeholdende indlejrede Excelfiler

Publiceret 30-05-2008
Historisk afgørelse

Journalnummer: J.nr. 2007-632-0020

Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra Statens Serum Institut.

Ved brev af 28. november 2007 anmodede Datatilsynet derfor Statens Serum Institut om en udtalelse.

Ved brev af 5. december 2007 er Statens Serum Institut fremkommet med en udtalelse. Instituttet er desuden kommet med supplerende oplysninger i brev af 4. april 2008.

Det fremgår herefter af sagen, at der på Statens Serum Instituts hjemmeside har været en PowerPoint-præsentation tilgængelig indeholdende indlejrede Excel-filer med helbredsoplysninger og personnumre på 245 personer. Så vidt Datatilsynet kunne konstatere, var oplysningerne også tilgængelige via Google.

Statens Serum Institut har oplyst, at dokumentet indeholdt et præsentationsmateriale fra et foredrag den 5. september 2005 og blev offentliggjort på hjemmesiden umiddelbart herefter. Ifølge det oplyste er materialet ikke videresendt til andre myndigheder eller private.

Oplysningerne blev efter det oplyste slettet fra hjemmesiden den 3. december 2007 og kan herefter heller ikke fremsøges via Google.

Statens Serum Institut har endvidere oplyst, at instituttet i 2006 ændrede praksis vedrørende offentliggørelse på hjemmesiden. Vedhæftede dokumenter bliver således ikke længere lagt ud i Excel, Word eller PowerPoint-format, men bliver lagt ud som pdf-filer. Statens Serum Institut har i forbindelse med Datatilsynets henvendelse gennemgået samtlige Excel og Word dokumenter, og der er ikke fundet oplysninger om personnumre eller helbredsoplysninger.

Fremadrettet vil der blive udarbejdet klare retningsliner for filer, der offentliggøres på hjemmesiden, herunder fjernelse af metadata, jf. vejledninger fra IT- og Telestyrelsen. Statens Serum Institut vil snarest muligt orientere om Datatilsynets henvendelse på instituttets intranet.

For så vidt angår oplysning til de berørte borgere, har Statens Serum Institut anført, at der kan argumenteres for, at orientering af de berørte ikke har betydelig interesse for de registrerede. De data, der er tilknyttet de enkelte personnumre, vedrører forholdsvis almindelige diagnoser som influenza, lungebetændelse og lignende under en given indlæggelsesperiode.

Samtidig har data, der er fra 2003-2004, en alder, hvor de angivne diagnoser i de fleste tilfælde normalt ikke vil have betydning for den nuværende helbredsstatus. Endvidere er der ikke foretaget enkeltsagsbehandling, men data er alene anvendt i statistisk øjemed. Endelig er det anført, at instituttet alene er i besiddelse af de berørtes personnumre, men ikke navne og adresser.

Afslutningsvis har Statens Serum Institut oplyst, at i det tilfælde, at en undta-gelse til oplysningspligten ikke kan gøres gældende, påtænker instituttet at udlægge en nyhed på hjemmesiden www.ssi.dk, der informerer om sagens indhold, og hvor man kan henvende sig, hvis man ønsker yderligere oplysninger.

Såfremt Datatilsynet ikke finder dette tilstrækkeligt, er Instituttet indstillet på at orientere direkte pr. brev, hvis det er muligt, at fremskaffe navn og adresse på personerne.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven  stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at Statens Serum Institut har offentliggjort en PowerPoint-præsentation indeholdende indlejrede Excel-filer med helbredsoplysninger og personnumre på 245 personer. Oplysningerne var også tilgængelige via Google.

I det konkrete tilfælde, hvor personnumre og helbredsoplysninger er blevet offentliggjort, finder Datatilsynet ikke, at Statens Serum Institut har udvist den fornødne omhu, og Statens Serum Institut har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig Statens Serum Instituts oplysninger om de skridt, der påtænkes taget, for at undgå en lignende offentliggørelse i fremtiden.

Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra.

Datatilsynet har noteret sig Statens Serum Instituts redegørelse om instituttets overvejelser om orientering af de berørte personer. Datatilsynet kan efter omstændighederne tilslutte sig Statens Serum Instituts løsningsforslag, hvor der informeres om det skete på instituttets hjemmeside.

Tilsynet har endvidere noteret sig det af Statens Serum Institut oplyste om, at oplysningerne ikke længere kan findes på Google.

Datatilsynet foretager på det foreliggende grundlag ikke yderligere i sagen.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.