Journalnummer: 2020-32-1579
Resumé
I forbindelse med at Vejen Kommune skulle publicere et høringssvar, der var indsendt af en borger via digital post, kom kommunen ved en fejl til at offentliggøre borgerens personnummer, som fremgik af signaturbeviset.
Datatilsynet har i forbindelse med sagens afgørelse udtalt, at det følger af kravet om passende sikkerhed, at materiale, som en dataansvarlig modtager eller udarbejder med henblik på offentliggørelse, og hvor materialet ofte indeholder personoplysninger, skal gennemføre kontrolforanstaltninger med henblik på at undgå utilsigtet offentliggørelse.
Sådanne kontrolforanstaltninger indebærer efter Datatilsynets opfattelse som minimum en forudgående proces for at gennemgå materialet og alt efter personoplysningernes karakter og omfang vil det normalt også være en passende sikkerhedsforanstaltning at gennemføre en supplerende forudgående manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret som tiltænkt.
1. Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor en borger den 30. juni 2020 har klaget til tilsynet over, at Vejen Kommune utilsigtet har offentliggjort oplysninger om hendes personnummer på kommunens hjemmeside i perioden 19. juni 2020 kl. 09.52 til 22. juni 2020 kl. 08.00.
Efter en gennemgang af sagen finder Datatilsynet – efter at sagen har været forelagt Datarådet – at der er grundlag for at udtale kritik af, at Vejen Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at Vejen Kommune ved en fejl lagde oplysninger om klagers personnummer på kommunens hjemmeside i forbindelse med klagers afgivelse af høringssvar af 10. januar 2020. Oplysningerne var tilgængelige på hjemmesiden i perioden 19. juni 2020 kl. 09.52 til 22. juni 2020 kl. 08.00.
Det fremgår endvidere, at Vejen Kommune anmeldte bruddet til Datatilsynet den 22. juni 2020, og at tilsynet sendte et afsluttende brev til kommunen den 14. juli 2020.
Herudover fremgår det, at kommunen orienterede klager om bruddet ved brev af 24. juni 2020.
På baggrund af klagen besluttede Datatilsynet at indsamle flere oplysninger omkring de faktiske omstændigheder omkring bruddet fra Vejen Kommune med henblik på at kunne behandle klagesagen.
2.1. Klagers bemærkninger
Klager har overordnet anført, at oplysninger om borgerens personnummer har været tilgængelig på Vejen Kommunes hjemmeside, og at hun blev orienteret herom via mail fra kommunen.
2.2. Vejen Kommunes bemærkninger
Vejen Kommune har overordnet anført, at kommunen uberettiget har offentliggjort klagers personnummer på kommunens hjemmeside.
Vejen Kommune har oplyst, at fejlen opstod i forbindelse med behandling af en sag i kommunens Økonomiudvalg, hvor klager havde indsendt høringssvar via digital post vedrørende nedsættelse af grundværdi for skovejendomme. Kommunen var i den forbindelse ikke opmærksom på, at klagers personnummer fremgik af signaturbeviset.
Vejen Kommune har endvidere oplyst, at der på kommunens hjemmeside permanent kører en CPR-tjekker, som kontrollerer, om der på kommunens hjemmeside ved en fejl offentliggøres personnumre. Klagers personnummer blev offentliggjort en fredag, og CPR-tjekkerens resultater blev håndteret mandag morgen, hvorefter fejlen og oplysningerne med det samme blev fjernet. Kommunen har oplyst, at kommunens CPR-tjekker først tjekker dokumenterne, efter de er lagt ud på hjemmesiden. Kommunen har videre oplyst, at CPR-tjekkeren scanner kommunens hjemmeside hver femte dag, og at det på grund af kapacitet ikke kan foretages hyppigere. Kommunen har til Datatilsynet oplyst, at kommunen løbende holder øje med, om der kommer et bedre system end det, kommunen på nuværende tidspunkt benytter sig af.
Vejen Kommune har efter at have forhørt sig hos kommunens Webmaster oplyst, at oplysningerne om klagers personnummer ikke har været tilgået af nogen hverken internt eller eksternt i den periode, oplysningerne fremgik af kommunens hjemmeside.
Vejen Kommune har over for kommunens ansatte indskærpet, at sagsbehandlerne skal være meget opmærksomme på, om specielt den digitale kommunikation indeholder følsomme personoplysninger. Kommunen har videre oplyst, at nye medarbejdere i kommunen i forbindelse med ansættelse skal gennemgå et e-learningsmodul, hvor de overordnede regler om tavshedspligt og databeskyttelse bliver gennemgået. Kommunen har videre oplyst, at kommunen indtil videre har afholdt 10 fysiske basiskurser i persondata for de ansatte i kommunen fra 1. november 2019 til 28. januar 2020.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger til grund, at Vejen Kommune i forbindelse med behandlingen af en sag i kommunens Økonomiudvalg ved en fejl har offentliggjort klagers personnummer på kommunens hjemmeside i perioden 19. juni 2020 kl. 09.52 til 22. juni 2020 kl. 08.00.
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Datatilsynet finder – efter at sagen har været forelagt Datarådet – at det følger af kravet om passende sikkerhed, jf. artikel 32, at offentlige myndigheder, der modtager eller udarbejder materiale med henblik på offentliggørelse, og hvor materialet ofte indeholder personoplysninger, eksempelvis vedhæftet eller i form af metadata, skal gennemføre kontrolforanstaltninger med henblik på at undgå utilsigtet offentliggørelse af personoplysninger.
Sådanne kontrolforanstaltninger indebærer efter Datatilsynets opfattelse som minimum en forudgående proces for at gennemgå materialet med henblik på at slette eller anonymisere personoplysninger, der ikke skal offentliggøres. Alt efter personoplysningernes karakter og omfang vil det normalt også være en passende sikkerhedsforanstaltning at gennemføre en supplerende forudgående manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret som tiltænkt. En sådan supplerende kontrol kan f.eks. være løbende automatiseret monitorering for udvalgte personoplysninger, f.eks. personnumre, eller ved en tilsvarende organisatorisk foranstaltning.
Datatilsynet finder på den baggrund, at Vejen Kommune ikke har gennemført passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på det af Vejen Kommune oplyste, herunder at fejlen skyldtes, at en medarbejder hos kommunen ikke har været opmærksom på, at oplysninger om klagers personnummer fremgik af signaturbeviset, og at kommunen ikke har processer for yderligere kontrol inden offentliggørelse af materiale på kommunens hjemmeside.
Datatilsynet bemærker i den anledning, at en dataansvarlig, der allerede har en teknisk løsning, der kan foretage en gennemgang af kode på en hjemmeside for bestemte typer af personoplysninger, ville kunne nedbringe risikoen for den registreredes rettigheder betragteligt, såfremt indholdet på nye sider blev screenet med værktøjet inden der skete offentliggørelse. Datatilsynet bemærker, at databeskyttelsesforordningen ikke indeholder et krav om at foranstaltningen skal være af teknisk karakter.
Datatilsynet anerkender, at den efterfølgende kontrol af hjemmesiden for utilsigtet offentliggjorte personoplysninger stadig er en god sikkerhedsforanstaltning. Tilsynet bemærker i den forbindelse, at en sådan kontrol bl.a. kan finde personoplysninger i materiale, hvor det ikke var åbenbart, at oplysninger af denne type forefindes, og at det i det hele taget kan nedbringe tidsrummet for en eventuel utilsigtet offentliggørelse af oplysninger.
Datatilsynet har noteret sig, at Vejen Kommune er opmærksom på, om der findes bedre tekniske løsninger end det aktuelle system, som kommunen på nuværende tidspunkt benytter sig af.
Datatilsynet har videre noteret sig, at Vejen Kommune har foretaget anmeldelse til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1 samt underrettet klager i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.
Datatilsynet finder, at der er grundlag for at udtale kritik af, at Vejen Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).