Sikkerhedsbrist på UNI-Cs hjemmeside i forbindelse med offentliggørelse af PowerPointpræsentation

Publiceret 30-05-2008
Historisk afgørelse Private virksomheder

Journalnummer: J.nr. 2007-632-0018

Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra UNI-C.

Ved brev af 23. november 2007 anmodede Datatilsynet derfor UNI-C om en udtalelse. 

Ved brev af 7. december 2007 har UNI-C redegjort nærmere for sagen.

Det fremgår herefter af sagen, at UNI-C har offentliggjort oplysninger om lærere, herunder oplysninger om personnummer, på UNI-Cs hjemmeside.
Oplysningerne fandtes i en PowerPoint-præsentation, hvor der lå personnumre i klartekst under grafikfelter, der kunne fjernes ved at redigere i det enkelte dias. Så vidt Datatilsynet kunne konstatere, var oplysningerne også tilgængelige via Google.

UNI-C har oplyst, at oplysningerne om personnummer blev forsøgt hemmeligholdt med tildækning. Desværre var dette et utilstrækkeligt teknisk hjælpemiddel, idet "bjælken" hen over personnummeret har kunnet fjernes ved at downloade PowerPoint-dokumentet og redigere de enkelte dias. 

Oplysningerne blev efter det oplyste offentliggjort den 10. januar 2007 og blev fjernet fra hjemmesiden den 26. november 2007 kl. 13.

UNI-C har endvidere oplyst, at UNI-C generelt har en it-sikkerhedshåndbog, der beskriver, hvordan medarbejderne skal opføre sig i forhold til it-sikkerhedsrelaterede problemstillinger, herunder persondataloven. Der er ikke taget konkret stilling til, hvordan man teknisk beskytter personoplysninger i forbindelse med udlægning af vejledningsmateriale.

UNI-C har i den forbindelse bemærket, at medarbejderen ikke har været i tvivl om, at personnumre skal sløres.

De berørte medarbejdere har adgang til it-sikkerhedshåndbogen, der beskriver en række forhold vedrørende it-sikkerhed - herunder naturligvis overholdelse af persondataloven.

Som følge af offentliggørelsen vil UNI-C informere de berørte personer ved brev.

I forhold til søgemaskiner, herunder Google, har UNI-C lagt en ny præsentation ind på websiden. En efterfølgende søgning på Google giver ikke adgang til det originale dokument, idet de berørte personnumre var præsenteret som et billede. Stikprøver på Yahoo og Jubii bekræfter dette.

For at undgå, at der fremover ikke sker uberettiget offentliggørelse af personoplysninger på UNI-Cs hjemmeside, vil UNI-C sikre sig, at medarbejdere, der arbejder med offentliggørelse af vejledningsmateriale, gives instruktion i, hvad der udgør tilstrækkelig teknisk sikring. Herunder vil medarbejderne blive orienteret om IT- og Telestyrelsens vejledning fra november 2007 "Gemmer I på skjulte data i Office-filer".

Endelig har UNI-C oplyst, at UNI-C vil gennemgå de websider, der kan indeholde slørede personnumre eller pseudopersonnumre. Websiderne vil blive gennemgået for med sikkerhed at afdække, om der forekommer ægte personnumre, som i givet fald vil blive fjernet, erstattet eller skjult med tilstrækkelige tekniske hjælpemidler.

UNI-C har beklaget den skete offentliggørelse.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at UNI-C har offentliggjort oplysninger om lærere, herunder oplysninger om personnummer, på UNI-C´s hjemmeside.
Oplysningerne fandtes i en PowerPoint-præsentation, hvor der lå personnumre i klartekst under grafikfelter, der kunne fjernes ved at redigere i det enkelte dias. Oplysningerne også tilgængelige via Google.

I det konkrete tilfælde, hvor personnumre er blevet offentliggjort, finder Datatilsynet ikke, at UNI-C har udvist den fornødne omhu, og UNI-C har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig UNI-Cs oplysninger om de skridt, der påtænkes taget for at undgå en lignende offentliggørelse i fremtiden.

 Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra.
Datatilsynet har noteret sig det af UNI-C oplyste om, at de berørte personer underrettes ved brev.

Tilsynet har endvidere noteret sig det af UNI-C oplyste om, hvorledes organisationen har sikret sig, at oplysningerne ikke længere kan findes på Google.

Datatilsynet foretager på det foreliggende grundlag ikke yderligere i sagen.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.