Vedrørende offentliggørelse af fortrolige og følsomme oplysninger om børn og unge på Nordfyns Kommunes hjemmeside

Publiceret 24-10-2008
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2008-632-0029

Datatilsynet blev i marts måned 2008 bekendt med, at der var offentliggjort fortrolige og følsomme oplysninger om børn og unge, der har opholdt sig på en af kommunens institutioner for udsatte unge med sociale og adfærdsmæs-sige problemer, på Nordfyns Kommunes hjemmeside.

Ved e-post af 6. marts 2008 anmodede Datatilsynet derfor Nordfyns Kommu-ne om en udtalelse.

Ved brev af 12. marts 2008 har Nordfyns Kommune redegjort nærmere for sagen.

Der var så vidt vides tale om 16 børn og unge, og oplysningerne omfattede navn, adresse, hjemkommune, cpr-nummer samt oplysningen om, at de har opholdt sig på en institution for udsatte uge med sociale og adfærdsmæssige problemer.

Nordfyns Kommune har oplyst, at de fortrolige og følsomme oplysninger om børn og unge blev offentliggjort på kommunens hjemmeside den 22. februar 2008 mellem kl. 14.00 og kl. 14.30. Oplysningerne blev fjernet fra kommunens hjemmeside den 3. marts 2008 ca. kl. 11.

Nordfyns Kommune har videre oplyst, at alle administrative medarbejdere er informeret om forholdsregler og retningslinjer for omgang med og videregivelse af personoplysninger. Dette er grundlæggende almen og elementær viden i Nordfyns Kommunes administration.

Kommunen har oplyst, at alle er klar over, at der blev begået en fejl, men at ingen er i tvivl om regelsættet for omgang med personoplysninger.

Nordfyns Kommune har desuden oplyst, at kommunen omgående efter at være blevet gjort bekendt med sagen, har gennemgået hændelsesforløbet sammen med de medarbejdere, der har behandlet sagen, herunder foretaget en indskærpelse af reglerne for omgang med fortrolige og følsomme personoplysninger med henblik på en optimering af kommunens kvalitetssikringsniveau.
Nordfyns Kommune har oplyst, at sagen er gennemgået sammen med kommunaldirektøren den 4. marts 2008. Kommunaldirektøren orienterede herefter om sagen og fortalte udførligt om reglerne for omgang med fortrolige og følsomme oplysninger, herunder påpegede nødvendigheden af skærpet opmærksomhed på personoplysninger, for det samlede rådhuspersonale på Søndersø Rådhus den 4. marts 2008, på Otterup Rådhus den 5. marts 2008 og på Bogense Rådhus den 6. marts 2008.

Ved brev af 6. marts 2008 har Nordfyns Kommune orienteret de berørte parter i sagen.

Nordfyns Kommune har endelig oplyst, at kommunens webmaster har undersøgt, om oplysningerne var tilgængelige i diverse søgemaskiner på internettet. Kommunen har oplyst, at efter hvad webmasteren har kunnet undersøge, har dokumentet ikke været søgbart i nogle af søgemaskinerne.

Nordfyns Kommune har beklaget, at kommunen ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven  stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

Datatilsynet kan konstatere, at Nordfyns Kommune har offentliggjort fortrolige og følsomme oplysninger om børn og unge med tilknytning til en af kommunens institutioner for udsatte unge med sociale og adfærdsmæssige problemer på kommunens hjemmeside.

I det konkrete tilfælde, hvor oplysninger om børn og unges navn, adresse, hjemkommune, cpr-nummer samt oplysningen om, at de har opholdt på en institution for udsatte børn og unge med sociale og adfærdsmæssige problemer, er blevet offentliggjort, finder Datatilsynet ikke, at Nordfyns Kommune har udvist den fornødne omhu, og Nordfyns Kommune har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det skete meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af fortrolige og følsomme oplysninger vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig Nordfyns Kommunes oplysninger om de skridt, der er taget for at undgå en lignende offentliggørelse i fremtiden.

Underretning af de berørte personer og sletning fra søgemaskiner

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet".

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Datatilsynet har noteret sig det af Nordfyns Kommune oplyste om, at de berørte personer er underrettet ved brev.

Efter Datatilsynets opfattelse skal den dataansvarlige endvidere undersøge, om oplysningerne findes i søgemaskiners kopier af myndighedens sider (cachen) og i givet fald sørge for, at oplysningerne fjernes derfra.

Tilsynet har endvidere noteret sig det af Nordfyns Kommune oplyste om, hvorledes kommunen har sikret sig, at oplysningerne ikke kan og ikke har kunnet findes på internettet ved hjælp af søgemaskiner.
Datatilsynet har noteret sig, at Nordfyns Kommune har beklaget fejlen.

Afsluttende bemærkninger

Datatilsynet foretager på det foreliggende grundlag ikke yderligere i sagen.

Afslutningsvis bemærkes, at Datatilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside i løbet af kort tid.