Elektroniske reserverings- og kvitteringsmeddelelser fra bibliotekerne (III)

Publiceret 11-05-2015
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2015-69-0001

1. Datatilsynet har senest den 14. juni 2010 afgivet en udtalelse til Styrelsen for Bibliotek og Medier (nu Kulturstyrelsen) vedrørende anvendelsen af kvitteringsmeddelelser fra Kulturstyrelsens hjemmeside bibliotek.dk og anvendelse af reserveringsmeddelelser fra bibliotekerne.

Datatilsynet fandt undtagelsesvist at kunne acceptere, at Kulturstyrelsen og bibliotekerne i en periode på 5 år fortsatte med at sende reserverings- og kvitteringsmeddelelser, som indeholder titel og forfatter på det reserverede materiale, ved brug af ikke-krypterede e-mails.

2. Da den 5-årige dispensation, der løber fra 14. oktober 2010, nærmer sig sit udløb, har Datatilsynet genoptaget sagen.

Efter anmodning fra Datatilsynet er Kulturstyrelsen ved e-mails af 6. og 16. marts 2015 fremkommet med udtalelser til sagen. Endvidere er Det Kongelige Bibliotek på tilsynets anmodning ved e-mail og telefonsamtale den 17. marts 2015 fremkommet med udtalelser til sagen.

Tilsynet har endvidere afholdt et møde den 13. marts 2015 med Kulturstyrelsen samt repræsentanter fra DDB – Danskernes Digitale Bibliotek og Det Kongelige Bibliotek.

Under mødet anførte Kulturstyrelsen generelt, at der bruges mange midler på at stimulere interessen for litteratur i befolkningen, herunder ikke mindst hos børn og unge, og at man bl.a. i lyset heraf ikke ønsker, at borgernes brug af bibliotekerne besværliggøres mere end højst nødvendigt.

Det blev endvidere bl.a. anført, at der ikke er kommet en effektiv og smidig løsning, som også er brugervenlig, at brug af krypterede e-mails fortsat ikke er udbredt blandt almindelige borgere, og at man ikke i praksis har oplevet problemer eller borgerhenvendelser vedrørende brugen af ukrypterede meddelelser.

I forhold til muligheden for brug af digital post til fremsendelse af de omhandlede meddelelser har Kulturstyrelsen ved e-mail af 6. marts 2015 anført:

”Der er på nuværende tidspunkt sådanne barrierer med hensyn til økonomi, volumen og funktionalitet vedrørende Digital Post, at dette ikke er en relevant saglig løsning for fremsendelse af reserveringsmeddelelser, kvitteringsmeddelelser, hjemkaldelser mv. Transaktionsudgiften for brug af digital post udgør efter det for styrelsen oplyste kr. 0,64 pr. meddelelse, hvortil kommer et megabytevederlag. Samlet vil det medføre en meget betydelig udgift for bibliotekerne. Det er endvidere usikkert, om den forøgede volumen som følge af bibliotekernes brug af digital post til fremsendelse af de omhandlede meddelelser kan håndteres via Digital Post.

Funktionaliteten i Digital Post giver brugerne en dårligere service end en e-mail, da det indebærer et opslag med brug af Nem-id for at få information om fx hvilket materiale, der ligger til afhentning i modsætning til, hvis brugeren modtager hele informationen umiddelbart.

Endelig er en stor gruppe af borgere fritaget fra brug af Digital Post. Det skal hertil bemærkes, at en borger først bliver omfattet af digital post, når borgeren er fyldt 15 år. Bibliotekerne betjener imidlertid en stor gruppe biblioteksbrugere under 15 år.”

I forhold til muligheden for fremsendelse af e-mails uden oplysninger om det bestilte eller reserverede materiale har Kulturstyrelsen bl.a. anført, at anonymisering af meddelelserne, således at disse ikke indeholder materialeoplysninger, vil være en væsentlig serviceforringelse for brugerne. Styrelsen har endvidere anført, at det er dens vurdering ud fra modtagne tilkendegivelser, at der ikke hos bibliotekerne vil være forståelse for en beslutning om ikke fortsat at kunne sende brugerne de omhandlede servicemeddelelser eller at yde en ringere service, hvor brugerne ikke umiddelbart informeres om, hvilket materiale en meddelelse omhandler.

3. Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:

Det er fortsat Datatilsynets opfattelse, at oplysninger om, hvilke bøger borgerne reserverer og låner på biblioteket, er af fortrolig karakter.

Det er endvidere Datatilsynets opfattelse, at der generelt er behov for at træffe sikkerhedsforanstaltninger, når offentlige myndigheder sender oplysninger af fortrolig karakter over det åbne internet.

Der henvises herved til sikkerhedsbekendtgørelsens1 § 14, som er nærmere uddybet i Datatilsynets sikkerhedsvejledning2.

Datatilsynet lægger til grund, at der findes tekniske løsninger, som vil gøre det muligt at overholde persondatalovens3 sikkerhedskrav, men at disse på nuværende tidspunkt ikke udgør brugbare alternativer til de ukrypterede e-mails, som pt. anvendes. Tilsynet tager herved ikke mindst brugervenligheden i betragtning.

Datatilsynet lægger endvidere til grund, at de etablerede tjenester er velfungerende serviceydelser, som borgerne er tilfredse med.

Datatilsynet forlænger derfor den tidligere meddelte accept af, at bibliotekerne kan sende reserverings- og kvitteringsmeddelelser, som indeholder titel og forfatter på det reserverede materiale, ved brug af ikke-krypterede e-mails. Datatilsynets accept er gældende indtil videre, dvs. uden tidsbegrænsning.

Datatilsynet forbeholder sig imidlertid at tage sagen op til fornyet overvejelse, f.eks. hvis der skulle vise sig konkrete uhensigtsmæssigheder ved den nuværende løsning i forhold til de beskyttelseshensyn, som persondataloven varetager.

 

1 Bekendtgørelse nr. 258 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer
2 Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning
3 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer