Sikkerhedsbrist på Dansk Selskab for Klinisk Biokemis hjemmeside i forbindelse med offentliggørelse af PowerPoint præsentationSikkerhedsbrist på Dansk Selskab for Klinisk Biokemis hjemmeside i forbindelse med offentliggørelse af PowerPoint præsentation

Publiceret 10-10-2008
Historisk afgørelse

Journalnummer: 2008-632-0036

Datatilsynet blev i maj måned 2008 opmærksom på, at der var offentliggjort personoplysninger fra Dansk Selskab for Klinisk Biokemis (herefter DSKB).

Ved e-post af 19. juni 2008 er DSKB efter anmodning fra Datatilsynet fremkommet med en udtalelse til sagen.

Det fremgår herefter af sagen, at der på DSKB's hjemmeside har været en PowerPoint-præsentation tilgængelig indeholdende indlejrede Excel-filer med helbredsoplysninger og personnumre på 22 personer. Så vidt Datatilsynet kunne konstatere, var oplysningerne også tilgængelige via Google.

DSKB har oplyst, at den pågældende PowerPoint-præsentation blev offentliggjort i umiddelbar forlængelse af et medlemsmøde den 23. marts 2006, hvor præsentationen var blevet fremlagt af forfatteren. Ifølge det oplyste er præsentationen ikke blevet offentliggjort af DSKB udover placeringen på hjemmesiden.

Oplysningerne blev efter det oplyste slettet fra hjemmesiden den 3. juni 2008 og kan herefter heller ikke fremsøges via Google.

DSKB har endvidere oplyst, at selskabet desværre ikke havde truffet de fornødne forholdsregler inden offentliggørelsen, da denne skete inden problematikken om følsomme personoplysninger i metafiler blev alment kendt.

DSKB har herudover oplyst, at de fornødne forholdsregler vil blive truffet fremover, og grafer vil i henhold til anbefaling blive konverteret til enten en pdf-fil eller en Windowsmetafil. DSKB har i forbindelse med Datatilsynets henvendelse gennemgået de øvrige præsentationer, der er placeret på hjemmesiden.

For så vidt angår oplysning til de berørte borgere, har DSKB anført, at selskabet har forsøgt at vurdere konsekvenserne af at rette henvendelse til de berørte personer versus at undlade dette. DSKB har i lyset af den kliniske sammen-hæng hvori tallene indgår, og det begrænsede omfang, der er tale om vurderet, at konsekvensen af en sådan henvendelse vil have større negative end positive effekter for de berørte.

DSKB har endvidere anført, at personnumrene ikke har været umiddelbart tilgængelige fra søgemaskinerne.

DSKB har endelig oplyst, at selskabet er villig til at løfte den ønskede opgave (med at underrette de berørte borgere), hvis Datatilsynet er uenig i ovennævnte.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven  stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den data-ansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at DSKB har offentliggjort en PowerPoint-præsentation indeholdende indlejrede Excel-filer med helbredsoplysninger og personnumre på 22 personer. Oplysningerne var også tilgængelige via Google.

I det konkrete tilfælde, hvor personnumre og helbredsoplysninger er blevet offentliggjort, finder Datatilsynet ikke, at DSKB har udvist den fornødne omhu, og DSKB har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre, helbredsforhold og lignende vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig DSKB's oplysninger om de skridt, der påtænkes taget, for at undgå en lignende offentliggørelse i fremtiden.

Underretning af de berørte personer og sletning fra Google

Hvis man ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal man gøre hvad man kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af de pågældende sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra.

Datatilsynet har noteret sig DSKB's redegørelse om selskabets overvejelser om underretning af de berørte personer.

Tilsynet har endvidere noteret sig det af DSKB oplyste om, at oplysningerne ikke længere kan findes på Google.

Sletning af præsentationen og underretning af ophavsmand

DSKB er efter det oplyste kommet i besiddelse af præsentationen i forbindelse med, at den er anvendt på et medlemsmøde. Datatilsynet går således ud fra, at de personoplysninger, der indgår i den indlejrede fil, er DSKB uvedkommende, og at foreningen derfor ikke har noget grundlag for lovligt at behandle oplysningerne. Datatilsynet forudsætter derfor, at DSKB - såfremt dette ikke allerede er sket - sletter de udgaver af præsentationerne med indlejrede filer, som foreningen måtte ligge inde med.

Præsentationen er efter det oplyste ikke udformet af DSKB, men stammer fra en ekstern kilde. Efter Datatilsynets opfattelse bør ophavsmanden til præsen-tationen ligeledes orienteres om, at denne indeholder personoplysninger, som ikke burde have været videregivet. Datatilsynet skal således anmode DSKB om at give information til ophavsmanden om problemstillingen samt om Datatilsynets udtalelse i sagen - eller at give Datatilsynet den pågældendes kontaktoplysninger, så tilsynet kan kontakte vedkommende

Datatilsynet foretager sig på det foreliggende grundlag ikke yderligere i sagen.

Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.