Sikkerhedsbrist hos Odense Kommune

Publiceret 20-06-2012
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2011-632-0104

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet på baggrund af en henvendelse fra en journalist er blevet opmærksom på, at Odense Kommune ved flere tilfælde tilsyneladende har videregivet oplysninger om kommunens borgere til uvedkommende. 

1. Odense Kommune er på Datatilsynets anmodning fremkommet med en udtalelse til sagen den 10. januar 2012. 

1.1. Det fremgår herefter af sagen, at der den 26. oktober 2011 blev fundet 19 sagsmapper indeholdende følsomme personoplysninger, herunder lægeakter og psykolograpporter, i en container i Vollsmose. Sagsakterne stammede ifølge det oplyste fra den private leverandør Job Fyn I/S, som beskæftigelsescentret havde indgået kontrakt med i 2009. 

Beskæftigelsescentret modtog de akter, som pressen var i besiddelse af, og foranledigede at den omtalte container blev gennemsøgt af Beskæftigelsescentrets sekretariat. For at udelukke yderligere risiko blev containerens restindhold under overvågning destrueret ved forbrænding. De fundne akter blev gennemgået og destrueret, efter at de berørte borgere var blevet orienteret.

Odense Kommune har oplyste, at samtlige borgere, som har deltaget i Job Fyns projekter, er blevet orienteret. De 19 berørte borgere blev ved brev orienteret om fundet af vedkommendes akter. Orienteringen indeholdt en undskyldning for den gene, som fejlen havde medført for borgeren. Samtidigt blev hver enkelt borger tilbud en mulighed for et møde i Beskæftigelsescenteret for ved selvsyn at konstatere, hvilke sagsakter det drejede sig om og herunder modtage rådgivning og vejledning i forhold til det passerede.

Ifølge det oplyste har 4 borgere taget imod dette tilbud.

Odense Kommune har desuden oplyst, at professionelle aktører, herunder læger og psykologer, hvis navne fremgik, fordi de havde udarbejdet nogle af akterne, blev også orienteret ved brev.

Det fremgår desuden af sagen, at Job Fyn I/S har oplyst, at hændelsen skyldes en menneskelig fejl og ikke ukendskab til reglerne.

Odense Kommune har oplyst, at Beskæftigelsescenteret har foretaget en ekstraordinær opfølgning hos eksterne leverandører, for at der ikke fremover sker fejl af lignende karakter. Samtlige af disse aktører har modtager en skrivelse med konkrete instrukser med hensyn til behandlingen af arkivalier indeholdende følsomme oplysninger. For så vidt angår de aktører, som kommunen fortsat efter årsskiftet samarbejder med, vil kommunen supplere den kontraktlige aftale med konkrete instrukser.

1.2. Det fremgår yderligere af sagen, at Beskæftigelsescentret forgæves har forsøgt at efterspore den borger, der ifølge en artikel i Fyens Stifttidende efter anmodning om aktindsigt i egne sager har modtaget akter indeholdende følsomme og fortrolige personoplysninger om 37 fremmede personer.

Det har imidlertid ikke været muligt for Beskæftigelsescenteret at identificere hverken borgeren eller sagerne, hvorfor det ikke har været muligt at kontakte de borgere, hvis personlige oplysninger fejlagtigt var udsendt.

Odense Kommune har oplyst, at kommunen ud fra oplysningerne i artiklen har indført væsentligt skærpede procedurer i aktindsigtssager.

1.3. Det fremgår desuden af sagen, at Odense Kommune ved en fejl har sendt oplysninger vedrørende én borger til en anden borger. Odense Kommune har oplyst, at en rekonstruktion af sagsforløbet har vist, at de omhandlede fortrolige oplysninger formentlig var ”glemt” i en scanner/printer, og at sagsbehandleren ved scanning af brev og bilag ved en fejl har medtaget de fortrolige oplysninger fra udskriftbakken og sendt dem til borgeren.

Odense Kommune har oplyst, at Beskæftigelseschefen har udsendt en instruks til samtlige sagsbehandlere, der indskærper pligten til at undgå at uvedkommende følsomme personoplysninger blev sendt ud af huset, og ikke mindst hvis fejlen er sket, at det foranlediges at oplysningerne returneres til sagsbehandler, således at den eller de personer, hvis oplysninger fejlagtigt er udsendt, kan orienteres.

I den konkrete sag er den berørte borger blevet kontaktet både telefonisk og skriftligt af kommunen, der har undskyldt hændelsen. Borgeren blev i den forbindelse anmodet om at kontakte forvaltningen, hvis borgeren ønskede yderligere drøftelser i sagen. Borgerne blev ligeledes anmodet om at kontakte forvaltningen, hvis der efterfølgende skulle opstå mistanke om misbrug af de følsomme personoplysninger.

2.  Datatilsynet skal herefter udtale følgende:

2.1. Relevante regler i persondataloven1

Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Det fremgår af persondatalovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Persondatalovens § 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at organisationens systemer, organisation og arbejdsgange indrettes således, at kravene i § 41, stk. 3, efterleves.

Persondatalovens sikkerhedskrav, som for offentlige myndigheder er nærmere uddybet i sikkerhedsbekendtgørelsen2 og i Datatilsynets vejledning dertil3, omfatter bl.a. krav om uddybende sikkerhedsregler med en opdateret beskrivelse af, hvordan myndigheden efterlever kravene (bekendtgørelsens § 5), krav om instruktion af medarbejderne (bekendtgørelsens § 6), krav om, at der ved behandling af personoplysninger der foretages af en databehandler på den dataansvarliges vegne, skal foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i sikkerhedsbekendtgørelsen ligeledes gælder for behandlingen ved databehandleren (bekendtgørelsens § 7) og krav til håndtering af uddata (bekendtgørelsens § 13).

Det er Datatilsynets opfattelse, at sikring af, at personoplysninger ikke uberettiget videregives til uvedkommende er omfattet af den dataansvarliges forpligtelse efter lovens § 41, stk. 3.

2.2. Datatilsynet finder det skete kritisabelt

Datatilsynet lægger til grund, at de omhandlede oplysninger er omfattet af persondataloven. Datatilsynet må herefter konstatere, at Odense Kommune i flere tilfælde inden for kortere tidsrum utilsigtet har videregivet fortrolige og følsomme oplysninger om kommunens borgere til uvedkommende.

Datatilsynet finder, at Odense Kommune dermed ikke har udvist den fornødne omhu, og at Odense Kommune således ikke har overholdt kravene i persondatalovens § 41, stk. 3. 

Datatilsynet finder samlet set det skete kritisabelt.

For så vidt angår sagen om videregivelse af oplysninger fra Job Fyn I/S, har Datatilsynet noteret sig det oplyste om, at Odense Kommune har gennemsøgt den omhandlede container og efterfølgende sendt det resterende indhold til destruktion ved forbrænding, at Odense Kommune har underrettet samtlige personer, der har haft tilknytning til Beskæftigelsescenteret, om, hvorvidt der er videregivet oplysninger om pågældende, og om hvordan den pågældende i givet fald skal forhold sig, og at Odense Kommune har indskærpet overfor kommunens databehandlere, hvordan følsomme personoplysninger skal håndteres.

For så vidt angår sagen, der vedrører videregivelse af oplysninger om borgere i forbindelse med besvarelse af aktindsigtssager, har Datatilsynet noteret sig det oplyste om, at Odense Kommune har indført en ny skærpet procedure for behandling af aktindsigtssager med henblik på at forhindre tilsvarende fejl fremover, og at Odense Kommune har instrueret de ansatte om den nye procedure.

For så vidt angår den dels af sagen, der vedrører fremsendelse af breve til borgere, har Datatilsynet noteret sig det oplyste om, at Odense Kommune har udsendt en instruks til samtlige sagsbehandlere, der dels indskærper pligten til at sikre at oplysninger ikke kommer til uvedkommendes kendskab, dels hvordan medarbejderne skal underrette berørte parter, hvis oplysninger alligevel bliver udsendt fejlagtigt, og at Odense Kommune i den konkrete sag har underrettet den berørte part og vejledt pågældende om, hvordan han skal forholde sig til det passerede.

3. Afsluttende bemærkninger

Datatilsynet foretager sig herefter ikke yderligere i sagen.

For god ordens skyld skal det oplyses, at sagen eventuelt vil blive omtalt på Datatilsynets hjemmeside.

 

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.