Sikkerhedsbrist i forbindelse med offentliggørelse af PowerPoint præsentation på Danmarks Tekniske Universitets hjemmeside

Publiceret 06-10-2008
Historisk afgørelse

Journalnummer: 2008-632-0035

Datatilsynet blev i maj måned 2008 gjort opmærksom på, at der på Danmarks Tekniske Universitets hjemmeside var offentliggjort personoplysninger.

Ved brev af 16. maj 2008 anmodede Datatilsynet derfor Danmarks Tekniske Universitet om en udtalelse.

I brev af 22. maj 2008 er Danmarks Tekniske Universitet fremkommet med en udtalelse.

Ved e-post af 2. juni 2008 anmodede Datatilsynet Danmarks Tekniske Uni-versitet om supplerende oplysninger.

Ved e-post af 4. juli 2008 fremkom Datatilsynet Danmarks Tekniske Univer-sitet med en supplerende udtalelse til sagen.

Det fremgår herefter af sagen, at der på Danmarks Tekniske Universitets hjemmeside har været offentliggjort en PowerPoint-præsentation indeholdende personoplysninger. PowerPoint-præsentationen indeholdt en indlejret Excel-fil med oplysninger om personnumre og helbredsoplysninger på 10 personer.

Danmarks Tekniske Universitet har oplyst, at oplysningerne blev offentliggjort den 22. juni 2005, og at de blev fjernet den 19. maj 2008.

Ifølge det oplyste er PowerPoint-præsentationen - ud over den skete offentliggørelse - sandsynligvis ikke blevet videregivet per e-post eller på et fysisk elektronisk medie.

I forhold til offentliggørelse af personoplysninger på Danmarks Tekniske Universitets hjemmeside har universitetet oplyst, at universitetets ledelse i 1997 formulerede retningslinier for publicering af indhold på universitetets hjemmeside. I retningslinierne stod bl.a., at "Personoplysninger skal håndteres i henhold til registerloven og deraf afledte forskrifter."

Danmarks Tekniske Universitet har endvidere oplyst, at retningslinierne har været frit tilgængelige på universitetets hjemmeside frem til maj 2006, hvor retningslinierne, i forbindelse med etableringen af et nyt intranet, ikke kom med i overflytningen fra det gamle system til det nye.

Danmarks Tekniske Universitet har i lyset af denne sag sørget for, at retningslinierne igen er let tilgængelige. Universitetet har ligeledes indskærpet overfor alle universitetets institutdirektører, IT og web-ansvarlige, at de skal sikre, at alle, der publicerer hjemmesider, er bekendte med reglerne.

Danmarks Tekniske Universitet vil som opfølgning på Datatilsynets henvendelse iværksætte en gennemgang af samtlige universitetets hjemmesider.

Vedr. oplysning til de berørte borgere er følgende oplyst:

Danmarks Tekniske Universitet har oplyst, at universitet ikke har mulighed for at orientere de berørte borgere, idet universitet ikke har de berørtes navne og adresser, men alene deres personnumre.

Danmarks Tekniske Universitet finder, at en eventuel orientering af de berørte borgere bør ske ved Statens Serum Institut, idet PowerPoint-præsentationen hidrører fra en foredragsholder derfra.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven  stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at Danmarks Tekniske Universitet har offentliggjort en PowerPoint-præsentation indeholdende personoplysninger. PowerPoint-præsentationen indeholdt en indlejret Excel-fil med oplysninger om personnumre og helbredsoplysninger på 10 personer.

I det konkrete tilfælde, hvor personnumre og helbredsoplysninger er blevet offentliggjort, finder Datatilsynet ikke, at Danmarks Tekniske Universitet har udvist den fornødne omhu, og Danmarks Tekniske Universitet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig Danmarks Tekniske Universitets oplysninger om de skridt, der påtænkes taget, for at undgå en lignende offentliggørelse i fremtiden.

Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra. I den konkrete sag har Danmarks Tekniske Universitet oplyst, at universitet ikke har kunnet konstatere en offentliggørelse af følsomme oplysninger via Google, men at universitet alligevel har bedt Google om at fjerne html filen fra deres cache den 19. maj 2008.

Datatilsynet har noteret sig det oplyste om, at Danmarks Tekniske Universitet ikke har de berørte personers navne og adresser og ikke umiddelbart har mulighed for at informere de pågældende.

Sletning af præsentationen og underretning af ophavssted

Danmarks Tekniske Universitet er efter det oplyste kommet i besiddelse af præsentationen i forbindelse med afholdelse af et foredrag ved en ekstern foredragsholder fra Statens Serum Institut. Datatilsynet går således ud fra, at de personoplysninger, der indgår i den indlejrede fil, er Danmarks Tekniske Universitet uvedkommende, og at universitetet derfor ikke har noget grundlag for lovligt at behandle oplysningerne. Datatilsynet forudsætter derfor, at Danmarks Tekniske Universitet - såfremt dette ikke allerede er sket - sletter de udgaver af præsentationerne med indlejrede filer, som universitetet måtte ligge inde med.

Datatilsynet har endvidere ved brev af dags dato rettet henvendelse til Statens Serum Institut med en række spørgsmål til instituttets håndtering af personoplysninger.

Afsluttende bemærkninger

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.