Sikkerhedsbrist hos Holstebro Tekniske Skole

Publiceret 08-07-2009
Historisk afgørelse

Journalnummer: 2009-631-0071

Datatilsynet blev den 24. februar 2009 gjort opmærksom på, at Holstebro Tekniske Skole havde offentliggjort oplysninger om studerendes personnumre på universitetets hjemmeside.

Der var tale om 11 studerende, og oplysningerne omfattede de studerendes personnumre, navne og oplysninger om deres forsøg.

Efter anmodning fra Datatilsynet har Holstebro Tekniske Skole den 11. maj 2009 afgivet en udtalelse i sagen.

Holstebro Tekniske Skole har oplyst, at de omhandlede oplysninger er blevet offentliggjort på en medarbejders hjemmeside under skolens domæne i efteråret 2008.

Holstebro Tekniske Skole har endvidere oplyst, at skolen forud for offentliggørelsen havde truffet forholdsregler på den måde, at alle medarbejdere har skrevet under på et dokument, hvor medarbejderne godtgør, at de ikke vil offentliggøre data på subdomæner eller andre steder, med personfølsomme data.

Holstebro Tekniske Skole har på et fælles møde orienteret de berørte studerende, og skolen har fjernet html filen fra Google.

Holstebro Tekniske Skole har indskærpet over for skolens pædagogiske og tekniske personale, dels hvordan proceduren er, og dels hvad man må og ikke må.

Endelig har Holstebro Tekniske Skole gennemgået alle skolens domæner, og bedt redaktørerne på subdomænerne om at gennemgå deres sider, således at der ikke længere bør findes sider med personnumre på skolens domæner.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Ifølge persondatalovens  § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Bestemmelsen i persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynet opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder offentliggørelsen meget beklagelig

I de konkrete tilfælde, hvor i alt 11 studerendes personnumre og navne er blevet offentliggjort, finder Datatilsynet ikke, at Holstebro Tekniske Skoles sitets har udvist den fornødne omhu. Skolen har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder det passerede meget beklageligt.

Datatilsynet skal herved også henvise til, at offentliggørelse af oplysninger om personnumre vil kunne få alvorlige konsekvenser for de berørte personer.

Datatilsynet har noteret sig det af Holstebro Tekniske Skole oplyste om orientering om behandling af personoplysninger og kontrol af siderne.

Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved fejl, bør de efter Datatilsynets opfattelse underrettes.

Datatilsynet har noteret sig det oplyste om, at Holstebro Tekniske Skole har fjernet den omhandlede side, og at alle berørte er orienteret om det passerede.

Datatilsynet har endvidere noteret sig det oplyste om, at skolen har fjernet html filen fra Google.

Afsluttende bemærkninger

Datatilsynet foretager på det foreliggende grundlag ikke yderligere i sagen.

Datatilsynet skal for en god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.