Sikkerhedsbrist på Aalborg universitets hjemmeside

Publiceret 29-05-2009
Historisk afgørelse

Journalnummer: 2007-632-0016

Datatilsynet blev i november måned 2007 bekendt med, at der var offentliggjort personoplysninger fra Aalborg Universitet.

Ved brev af 23. november 2007 anmodede Datatilsynet derfor Aalborg Universitet om en udtalelse.

Ved brev af 21. januar 2008 fremkom Aalborg Universitet med en nærmere redegørelse for sagen.

Ved brev af 29. maj 2008 fremkom Datatilsynet med en udtalelse i sagen. Datatilsynet anmodede i denne forbindelse Aalborg Universitet om på ny at vurdere, om der skulle ske underretning af de 82 studerende, der var berørt af den oprindelige offentliggørelse.

Datatilsynet anmodede endvidere Aalborg Universitet om at oplyse, hvad universitetet ville foretage sig i relation til, at Datatilsynet havde konstateret en offentliggørelse af yderligere 3 Excel-filer indeholdende personoplysninger, herunder også i forhold til en gennemgang af universitetets hjemmesider.

Ved brev af 20. juni er Aalborg Universitet fremkommet med en ny redegørelse i sagen. Vedlagt redegørelsen var tillige en redegørelse fra institutlederen på det fakultet hvorfra de nye offentliggørelser hidrørte. Af denne redegørelse fremgår det, at de nye offentliggørelser er sket på en navngiven forskers private hjemmeside på universitetets domæne.

Sagen har tillige været drøftet mellem Datatilsynet og Aalborg Universitet den 15. september 2008, hvor Datatilsynet var på inspektion på universitetet.

Den oprindelige offentliggørelse

For så vidt angår underretning af de 82 studerende, der var berørt af den oprindelige offentliggørelse, som omfattede personnumre, navne, studieretning, semester, telefonnumre og e-mailadresser, og som var lagt på universitetets hjemmeside i 2005 ved en fejl, har Aalborg Universitet oplyst, at universitetet har genovervejet behovet for en underretning. Universitetet anfører, at den enkelte studerende må antages at være vidende om at deres oplysninger har været gjort offentligt tilgængelige, hvorfor universitetet ikke finder, at yderligere henvendelser til de pågældende studerende vil medføre en reparation på den konstaterede sikkerhedsbrist.

De 3 yderligere offentliggørelser

For så vidt angår de 3 yderligere Excel-filer indeholdende personoplysninger - om i alt ca. 3500 patienter, herunder personnumre, navne (for nogles vedkommende) og helbredsoplysninger - har Aalborg Universitet oplyst, at universitetet erkender, at de 3 filer har været placeret på det åbne internet under et af universitetets institutter.

Om de offentliggjorte personoplysninger har Aalborg Universitet oplyst, at de offentliggjorte data indeholder helbredsmæssige oplysninger om patienter, som kan lokaliseres via deres cpr-nummer.

Aalborg Universitet har oplyst, at universitetet ser med stor alvor på den sikkerhedsbrist, som offentliggørelsen er udtryk for, og universitetet vil træffe forholdsregler, som skal forhindre lignende brud på lovgivningen om beskyttelse af persondata.

Aalborg Universitet har endvidere oplyst, at universitetet samme dag som universitetet blev opmærksom på de 3 nye offentliggørelser fik lukket den pågældende hjemmeside, og at siden efterfølgende er blevet renset for følsomme personoplysninger. Universitetet kontaktede herudover samme dag Google med henblik på sletning af data og referencer vedrørende de offentliggjorte filer.

Det pågældende institut er efterfølgende blevet bedt om at foretage et gennemgribende eftersyn af instituttets hjemmesider med henblik på at sikre sig, at der ikke lå mere materiale med personfølsomme oplysninger.

Med henblik på at undgår lignende offentliggørelser i fremtiden vil Aalborg Universitet udarbejde en ny og strammere procedure for offentliggørelse og legalitetssikring af information på universitetets hjemmesider, herunder forskningsmateriale. Universitetet vil samtidig overveje, hvilke sanktioner der kan iværksættes overfor brud på sikkerhedsforskrifterne.

Foruden ovennævnte tiltag vil Aalborg Universitet endvidere bede ikt-organisationen på universitetet om at vurdere, hvad der kan foretages yderligere for at sikre overholdelse af datasikkerhedskravene.

Aalborg Universitet vil endvidere, med henblik på kvalitetssikring af universitetets hjemmesider, ansætte en sikkerhedskoordinator med reference til universitetets sikkerhedschef.

Herudover vil Aalborg Universitet i nær fremtid følge op på Datatilsynets informationsmateriale af 22. november 2007 og udarbejde materiale om faldgruber, som man kan falde i, når man arbejder med følsomme personoplysninger som led i et statistisk materiale beregnet på offentliggørelse. I den forbindelse vil Aalborg Universitet kræve, at alle dataansvarlige enheder (fakulteter med tilhørende institutter) kontrollerer deres hjemmesider for personfølsomme data.

Afslutningsvist har Aalborg Universitet oplyst, at universitetet finder det mest hensigtsmæssigt at underrette de, af de 3 nye offentliggørelser, berørte patienter gennem en generel udmelding på universitetets hjemmeside om den skete sikkerhedsbrist. Udmeldingen skal give de berørte personer mulighed for at genkende sagen, således at de kan kontakte universitetet med opklarende spørgsmål.

Derimod finder Aalborg Universitet det ikke hensigtsmæssigt at kontakte de enkelte patienter direkte, idet det ikke vides, om de offentliggjorte data har været observeret af andre end Datatilsynet og den forsker, der har offentliggjort oplysningerne, og idet det ikke vides, om nogle af patienterne er døde i den mellemliggende periode.

Datatilsynet skal herefter udtale følgende:

Relevante regler i persondataloven

Persondataloven  stiller i § 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

En nærmere udmøntning af § 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens  § 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne.

Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens § 41, stk. 3.

Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår tilrettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer.

Datatilsynet finder det skete meget kritisabelt

Datatilsynet kan konstatere, at der har været offentliggjort oplysninger om personnumre og helbredsoplysninger på patienter på Aalborg Universitets hjemmeside.

Der var tale om i alt ca. 3500 patienter, og oplysningerne omfattede patienternes personnumre, navne (for nogles vedkommende) og helbredsoplysninger. Oplysningerne har været tilgængelige via Google.

I det konkrete tilfælde, hvor bl.a. navne, personnumre og helbredsoplysninger er blevet offentliggjort, finder Datatilsynet, at Aalborg Universitet ikke har udvist den fornødne omhu, og Aalborg Universitet har dermed ikke overholdt kravene i persondatalovens § 41, stk. 3. Datatilsynet finder endvidere, at det er en skærpende omstændighed, at de 3 yderligere filer lå offentligt tilgængelige efter, at Datatilsynet havde været i kontakt med Aalborg Universitet om den første offentliggørelse - af oplysninger om 82 studerende - og i den forbindelse havde opfordret universitetet til at foretage en gennemgang af universitetets hjemmesider. Datatilsynet finder det passerede meget kritisabelt.

Offentliggørelse af oplysninger om navne, personnumre og helbredsoplysninger vil kunne få alvorlige konsekvenser for de berørte personer.

Under henvisning hertil - og i lyset af, at der er tale om gentagne tilfælde af offentliggørelse af personoplysninger - forventer Datatilsynet at rette henvendelse til Ministeriet for Videnskab, Teknologi og Udvikling i anledning af denne sag samt lignende sager med sikkerhedsbrister på andre universiteter.

Aalborg Universitet har oplyst, at universitetet vil udarbejde en ny og strammere procedure for offentliggørelse og legalitetssikring af information på universitetets hjemmesider, og at universitetet vil overveje, hvilke sanktioner der kan iværksættes overfor brud på sikkerhedsforskrifterne. Datatilsynet skal anmode om at få fremsendt beskrivelsen af den nye procedure, så snart den foreligger. Datatilsynet skal endvidere anmode om at få oplyst resultatet af universitetets overvejelser vedrørende sanktioner.

Efter det oplyste vil Aalborg Universitet nu kræve, at alle dataansvarlige enheder (fakulteter med tilhørende institutter) kontrollerer deres hjemmesider for følsomme personoplysninger. Datatilsynet skal anmode om at få oplyst, hvornår denne gennemgang har fundet sted, herunder om universitetet har sat en tidsfrist herfor, og Datatilsynet skal endvidere anmode Aalborg Universitet om at orientere tilsynet om, hvorvidt der under gennemgangen er fundet yderligere offentliggjorte personoplysninger, og hvad der i givet fald foretages i den anledning.

Datatilsynet skal tillige anmode Aalborg Universitet om at redegøre for udfaldet af det gennemgribende eftersyn, som instituttet bag de tre yderligere offentliggørelser blev pålagt.

Datatilsynet skal endvidere opfordre til, at problemet med utilsigtet offentliggørelse af personoplysninger generelt tages op på universitetet.

Det er Datatilsynets umiddelbare vurdering, at problemerne ikke kan løses alene ved at informere. Datatilsynet lægger hermed vægt på, at Aalborg Universitet er en institution, hvor mange oplysninger offentliggøres på internettet.

Datatilsynet skal pege på muligheden for at begrænse anvendelsen af fortrolige personoplysninger. Datatilsynet kan foreslå, at Aalborg Universitet overvejer at etablere en teknisk løsning, der holder øje med fortrolige personoplysninger (f.eks. personnumre) og blokerer for offentliggørelsen af disse.

Underretning af de berørte personer og sletning fra Google

Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5. Yderligere oplysninger findes i Datatilsynets hjemmeside tekst "Utilsigtet offentliggørelse på internettet" .

Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes.

Efter Datatilsynets opfattelse, skal den dataansvarlige endvidere undersøge, om oplysningerne findes i Googles kopier af myndighedens sider og
i givet fald sørge for, at oplysningerne fjernes derfra.

Den oprindelige offentliggørelse

Aalborg Universitets har som argument for ikke at underrette de berørte studerende bl.a. anført, at den enkelte studerende må antages at have været vidende om, at informationerne har været offentlige, da hjemmesiden har været brugt som kontaktforum bland de studerende og deres lærer.

Datatilsynet finder, at det i denne sag må tages i betragtning, at der er offentliggjort både personnumre, navne og kontaktoplysninger. Der er således tale om ganske omfattende oplysninger, og det kan efter tilsynets opfattelse ikke udelukkes, at det skete kan have haft konkrete konsekvenser for de berørte.

Selv om offentliggørelsen skete i 2005 har oplysningerne været tilgængelige frem til november 2007, hvor Datatilsynet gjorde universitetet opmærksom på fejlen. Der var desuden ikke tale om, at oplysningerne var skjulte som en indlejret fil i en præsentation - Excel databasen lå frit tilgængelig på internettet.

Datatilsynet finder det tvivlsomt, om de studerende som antaget af Aalborg Universitet har været bekendt med offentliggørelsen. Tilsynet ville forvente, at hvis det havde været tilfældet, ville der være blevet sat en stopper for offentliggørelsen på et tidligere tidspunkt.

På denne baggrund er det Datatilsynets opfattelse, at omstændighederne i denne sag fører til, at Aalborg Universitet skal informere de berørte studerende om sikkerhedsbristen, herunder hvilke oplysninger der har været offentligt tilgængelige på internettet. Datatilsynet henstiller derfor, at Aalborg Universitet underretter de berørte studerende.

Datatilsynet skal anmode om at modtage underretning om, hvad Aalborg Universitet herefter foretager sig, og tilsynet skal anmode om at få kopi af den information, der gives til de berørte studerende.

De 3 yderligere offentliggørelser

Datatilsynet går ud fra, at den statistiker, der har offentliggjort oplysningerne på sin personlige side på Aalborg Universitets hjemmeside, har været i besiddelse af disse som forsker eller eventuelt som databehandler for andre private eller offentlige forskningsprojekter.

Datatilsynet vil derfor rette henvendelse direkte til forskeren med henblik på en nærmere afklaring af, hvem der er dataansvarlig for de projekter, hvorfra oplysningerne stammer, og hvordan den dataansvarlige stiller sig til mulighederne for at underrette de berørte personer.

Afsluttende bemærkninger

Datatilsynet afventer herefter svar fra Aalborg Universitet.

Kopi af dette brev vil blive sendt til Ministeriet for Videnskab, Teknologi og Udvikling.

Datatilsynet skal endelig for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside.