Kritik til Erhvervs- og Selskabsstyrelsen for brud på persondataloven

Publiceret 28-09-2010
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2009-621-0045

1. I forbindelse med Datatilsynets inspektion af overtrædelsesregisteret, som Erhvervs- og Selskabsstyrelsen er dataansvarlig for, har tilsynet konstateret, at styrelsen har tilsidesat persondataloven på tre punkter:

  • Manglende efterlevelse af persondatalovens krav om datasikkerhed som nærmere uddybet i Datatilsynets henstilling af 29. november 2005, idet politiets adgang til registeret sker via internet og ved anvendelse af brugernavn og password og ikke som henstillet af Datatilsynet ved brug af digital signatur eller ved opslag fra kendte ip-adresser.
  • Ingen kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18.
  • Manglende efterlevelse af persondatalovens krav om kryptering ved frem-sendelse af e-post med oplysninger om strafbare forhold og personnumre via internet som led i sagsbehandlingen, jf. sikkerhedsbekendtgørelsens
    § 14 som nærmere uddybet i Datatilsynets sikkerhedsvejledning.

Det er efter Datatilsynets opfattelse uacceptabelt, at den henstilling, som tilsynet har givet i 2005 vedrørende politiets adgang til registeret, fortsat ikke er fulgt.

Situationen forværres af, at der ikke er etableret kontrol med afviste adgangsforsøg. Det må således lægges til grund, at uvedkommende uden begrænsninger på antal forsøg har adgang til via internet at forsøge at gætte sig frem til en adgangsgivende kombination af brugernavn og password. Der sker endvidere ingen logning af sådanne forsøg.

Samlet set finder Datatilsynet den manglende efterlevelse af persondataloven meget kritisabel.

Efter Datatilsynets opfattelse må den nødvendige sikkerhed omkring politiets adgang til overtrædelsesregisteret etableres omgående, ellers må adgangen lukkes. Der skal endvidere etableres kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18. Og endelig må fremsendelsen af fortrolige og følsomme personoplysninger via e-post ophøre.

Datatilsynet har underrettet Økonomi- og Erhvervsministeriet om de konstate-rede brud på persondataloven. Tilsynet har samtidig anmodet om at få oplyst, hvad Økonomi- og Erhvervsministeriet vil gøre for at sikre persondatalovens efterlevelse i forbindelse med overtrædelsesregisteret.

2. En nærmere gennemgang af sagen følger nedenfor

2.1. Datatilsynet har den 25. maj 2010 gennemført en inspektion hos Erhvervs- og Selskabsstyrelsen af overtrædelsesregisteret. I forlængelse heraf har styrelsen i e-post af 18. juni 2010 fremsendt en række oplysninger, som tilsynet anmodede om under inspektionen.

Datatilsynet har endvidere den 25. juni 2010 foretaget en inspektion hos Fødevareregion Øst ligeledes vedrørende overtrædelsesregisteret.

Datatilsynet har i brev af 30. juni 2010 stillet Erhvervs- og Selskabsstyrelsen opfølgende spørgsmål i tilknytning til de to inspektioner, og styrelsen har svaret i brev af 14. juli 2007.

”Overtrædelsesregister for personer med næringsbrev, jf. Lov om næringsbrev til fødevarebutikker og Lov om restaurations- og hotelvirksomhed” er anmeldt til Datatilsynet den 1. juni 2005.

Overtrædelsesregisteret giver myndigheder, herunder politiet, adgang til at indberette og læse indberetninger af personer (og selskaber) med næringsbrev, som bl.a. har begået væsentlige lovovertrædelser . Registeret indeholder således oplysninger om strafbare forhold om personer.

Under Datatilsynets behandling af anmeldelsen fremgik det, at politiet kunne få adgang til registeret ved brug af brugernavn og password.

2.2. Ved brev af 29. november 2005 afgav Datatilsynet efter persondatalovens  § 45, stk. 1, nr. 1, en udtalelse vedrørende anmeldelsen.

I udtalelsen henstillede Datatilsynet, at Erhvervs- og Selskabsstyrelsen indrettede løsningen således, at alle brugere enten skulle have en digital signatur, eller at politiet kun kunne få adgang fra autoriseret netværk eller ip-adresse, svarende til kravet ved myndighedsadgang til Nemkonto.

På baggrund af Datatilsynets henstilling blev der den 18. september 2006 af-holdt møde hos Erhvervs- og Selskabsstyrelsen med deltagelse af Rigspolitiet og Datatilsynet. På mødet blev det aftalt, at Erhvervs- og Selskabsstyrelsen i samarbejde med Rigspolitiet ville arbejde på at finde en løsning for politiets adgang til overtrædelsesregisteret, der lever op til persondatalovens sikkerhedskrav.

Ved e-post af 19. januar 2007 oplyste Erhvervs- og Selskabsstyrelsen, at det  fra medio 2007 ville være muligt at anvende en løsning med adgang fra kendte ip-adresser. Styrelsen anmodede i den forbindelse Datatilsynet om at vurdere, om den beskrevne løsning efter tilsynets opfattelse ville leve op til kravene om datasikkerhed, hvilket Datatilsynet ved brev af 30. marts 2007 bekræftede.

2.3. Ved Datatilsynets inspektion den 25. maj 2010 kunne tilsynet imidlertid konstatere, at der for politiet stadig var adgang til overtrædelsesregisteret ved brug af brugernavn og password, og at situationen således var uændret siden registerets oprettelse i 2005.

Ved e-post af 18. juni 2010 har Erhvervs- og Selskabsstyrelsen bl.a. oplyst, at der ikke bliver logget, hvis nogen forgæves forsøger at logge sig ind med politibruger. Men det vil der blive fra den næste version af registeret.

Det blev i samme udtalelse oplyst, at hverken politibrugere eller andre brugere bliver spærret efter et antal (f.eks. 3) forgæves forsøg, jf. sikkerhedsbekendtgørelsens  § 18.

2.4. Ved brev af 30. juni 2010 har Datatilsynet stillet opfølgende spørgsmål bl.a. om årsagen til, at en sikker løsning ikke som oplyst blev implementeret fra medio 2007, og hvornår en løsning, der lever op til persondatalovens krav, vil blive implementeret.

Ved brev af 14. juli 2010 har Erhvervs- og Selskabsstyrelsen oplyst, at styrelsen tidligere har forsøgt at få politiet til at anvende digital signatur, uden at det desværre er lykkedes. Styrelsen har herefter været ved at undersøge mulighe-derne for i stedet at identificere de enkelte politikredse ud fra en fast ip-adresse, uden at der dog er blevet etableret en løsning herved.
 
I lyset af den teknologiske udvikling samt det forhold, at politiet i andre sammenhænge anvender digital signatur, vil Erhvervs- og Selskabsstyrelsen efter det oplyste tage kontakt til Rigspolitiet med henblik på en drøftelse af, at digi-tal signatur også anvendes i forbindelse med indberetninger til overtrædelses-registeret. Erhvervs- og Selskabsstyrelsen har anmodet Datatilsynet om nød-vendigt at bistå styrelsen med at bane vejen for politiets anvendelse af digital signatur i forbindelse med indberetninger til overtrædelsesregisteret.

2.5. Om fremsendelse af kvitteringsmails har Erhvervs- og Selskabsstyrelsen nærmere oplyst, at der i forbindelse med indberetning til overtrædelsesregistret sendes en kvitteringsmail til indberetteren med bl.a. navnet på virksomheden, personnummeret på en eventuel person, dato for overtrædelse, dato for dom eller bødevedtagelse samt type af overtrædelse.

Kvitteringsmailen sendes ikke krypteret, og Erhvervs- og Selskabsstyrelsen vil derfor tage kontakt til styrelsens IT-leverandør med henblik på, at kvitteringsmailen kortes ned til kun at indeholde ikke-fortrolige og ikke-følsomme oplysninger, dvs. f.eks. navn, cvr-nummer og indberetterens journalnummer. Indberetteren vil efter modtagelsen af kvitteringsmailen selv kunne koble sig op på overtrædelsesregisteret og kontrollere, at de indberettede oplysninger står korrekt. Et alternativ kunne være at sende kvitteringsmailen via den kommende dokumentboks, hvilket styrelsen beder Datatilsynet oplyse om kunne være en mulighed.

3. Datatilsynet skal herefter skal udtale følgende

3.1. Politiets login med brugernavn og password

Efter persondatalovens § 41, stk. 3, påhviler det den dataansvarlige, i dette tilfælde Erhvervs- og Selskabsstyrelsen, at træffe de fornødne sikkerhedsforanstaltninger mod, at oplysninger kommer uvedkommende til kendskab.

I Datatilsynets udtalelse af 29. november 2005 er bl.a. følgende anført:

”Datasikkerhed

Datatilsynet har modtaget Erhvervs- og Selskabsstyrelsens risikovurdering af 4. oktober 2005, hvor styrelsen bl.a. har anført, at sikkerhedsvurderingens konklusion er, at systemet omkring overtrædelsesregisteret på alle områder lever op til de krav, som er stillet i Datatilsynets vejledning til sikkerhedsbekendtgørelsen.

I den anledning skal Datatilsynet bemærke, at når der er adgang til følsomme oplysninger, stiller dette efter tilsynets opfattelse større krav til den sikkerhedsløsning, der vælges.

Datatilsynet skal derfor henstille, at Erhvervs- og Selskabsstyrelsen indretter løsningen således, at alle brugere skal have digital signatur for at få adgang til Næringsbasen, eller at politiet kun kan få adgang fra autoriseret netværk eller ip-adresse, svarende til kravet ved myndighedsadgang til Nemkonto.”

Datatilsynet må imidlertid konstatere, at Erhvervs- og Selskabsstyrelsen fortsat ikke har etableret den fornødne sikkerhed, idet det stadig er muligt for politiet at få adgang til registeret ved brug af brugernavn og password.

Situationen forværres af, at der ikke er etableret kontrol med afviste adgangsforsøg, jf. nedenfor.

Det må således lægges til grund, at uvedkommende uden begrænsninger på antal forsøg har adgang til via internet at forsøge at gætte sig frem til en adgangsgivende kombination af brugernavn og password. Der sker endvidere ingen logning af sådanne forsøg.

3.2. Kontrol med afviste adgangsforsøg, sikkerhedsbekendtgørelsens § 18

I medfør af persondatalovens § 41, stk. 5, er der i sikkerhedsbekendtgørelsen fastsat nærmere krav til de sikkerhedsforanstaltninger, som offentlige myndigheder skal iagttage.

Sikkerhedsbekendtgørelsens § 18 indebærer en pligt for Erhvervs- og Selskabsstyrelsen til at foretage en registrering af alle afviste forsøg på adgang til overtrædelsesregisteret.

Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden.

Bestemmelsen er nærmere forklaret i Datatilsynets sikkerhedsvejledning:

”Bestemmelsen indebærer, at der skal foretages en registrering af ethvert afvist for-søg på adgang til systemet, uanset om afvisningen er forårsaget af brug af forkert password, forkert brugeridentifikation, manglende autorisation til en vis funktion eller andet. Herved etableres et redskab for systemadministrationen til eventuelt at afdække forsøg på uberettiget adgang til oplysningerne. Bestemmelsen indebærer endvidere, at systemet skal udvise en reaktion, således at yderligere forsøg på ad-gang, f.eks. efter et vist antal forsøg på at gætte password, forhindres. Denne reaktion kan være i form af lukning af den anvendte brugeridentifikation, lukning af pc'en eller adgang til lokalnettet. Reaktionen skal endvidere være af en sådan art, at hæn-delsen kommer til rette vedkommendes, f.eks. systemadministrationens, kendskab.”

Erhvervs- og Selskabsstyrelsen har oplyst, at styrelsen ikke foretager den i § 18 nævnte kontrol.

3.3. Fremsendelse af e-post med følsomme og fortrolige personoplysninger

Efter Datatilsynets opfattelse er der generelt et behov for at træffe sikkerhedsforanstaltninger, når offentlige myndigheder sender (transmitterer) oplysninger af fortrolig karakter over det åbne internet som led i sin sagsbehandling.
 
Tilsynet henviser herved til § 14 i Justitsministeriets bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, hvorefter der for den offentlige forvaltning kun må etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. De nærmere krav er omtalt i Datatilsynets sikkerhedsvejledning . Heraf fremgår bl.a., at der skal foretages krypte-ring ved transmission af såvel følsomme som fortrolige oplysninger.
Persondatalovens sikkerhedskrav indebærer således, at Erhvervs- og Sel-skabsstyrelsen alene må fremsende e-post med oplysninger om strafbare forhold og personnumre som led i sagsbehandlingen, hvis der anvendes kryptering.

4. Konklusion

Datatilsynet har konstateret, at Erhvervs- og Selskabsstyrelsen i forbindelse med overtrædelsesregisteret har tilsidesat persondataloven på tre punkter:

  • Manglende efterlevelse af persondatalovens krav om datasikkerhed som nærmere uddybet i Datatilsynets henstilling af 29. november 2005, idet politiets adgang til registeret sker via internet og ved anvendelse af brugernavn og password og ikke som henstillet af Datatilsynet ved brug af digital signatur eller ved opslag fra kendte ip-adresser.
  • Ingen kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18.
  • Manglende efterlevelse af persondatalovens krav om kryptering ved frem-sendelse af e-post med oplysninger om strafbare forhold og personnumre via internet som led i sagsbehandlingen.

 

5. Krav om omgående forbedring af sikkerheden

Efter Datatilsynets opfattelse må den nødvendige sikkerhed omkring politiets adgang til overtrædelsesregisteret etableres omgående, ellers må adgangen lukkes. Der skal endvidere etableres kontrol med afviste adgangsforsøg som krævet efter sikkerhedsbekendtgørelsens § 18. Og endelig må fremsendelsen af fortrolige og følsomme personoplysninger via e-post ophøre.

Datatilsynet vil ikke udelukke, at dokumentboks-løsningen på sigt vil kunne anvendes af Erhvervs- og Selskabsstyrelsen på dette område. Men dette ændrer efter Datatilsynets opfattelse ikke på, at den anvendte praksis skal bringes til ophør. Datatilsynet skal i den forbindelse også henvise til, at der ved eDag2 i 2005 er indført krav om, at myndigheder skal kunne modtage sikker e-post. 

6. Kritik og underretning af Økonomi- og Erhvervsministeriet

Det er efter Datatilsynets opfattelse uacceptabelt, at den henstilling, som tilsynet har givet i 2005 vedrørende politiets adgang til registeret, fortsat ikke er fulgt.

Datatilsynet har derfor underrettet Økonomi- og Erhvervsministeriet om de konstaterede brud på persondataloven. Tilsynet har samtidig anmodet om at få oplyst, hvad Økonomi- og Erhvervsministeriet vil gøre for at sikre persondatalovens efterlevelse i forbindelse med overtrædelsesregisteret.

Datatilsynet skal ligeledes anmode Erhvervs- og Selskabsstyrelsen om inden 4 uger at oplyse, hvad styrelsen vil gøre for at sikre persondatalovens efterlevelse i forbindelse med overtrædelsesregisteret.

7. Afsluttende bemærkninger

I forbindelse med Datatilsynets inspektion hos Fødevareregion Øst vil Datatilsynet som tidligere meddelt bl.a. gennemgå de meddelelser, der anvendes i forbindelse med indberetninger til overtrædelsesregisteret. Datatilsynet vil vende tilbage til dette spørgsmål, når tilsynets vurdering foreligger.

Det skal for god ordens skyld oplyses, at tilsynet forventer at informere om sagen på sin hjemmeside.