Foranstaltning:

Styret og overvåget offentliggørelse af data


Senest opdateret 20.8.24.

Hvilke risici adresseres?

Mange organisationer offentliggør hyppigt dokumenter som en del af deres opgavevaretagelse. Det kan eksempelvis være principielle administrative afgørelser, høringssvar, datasæt fra forskningsprojekter, oplysninger i webarkiver (fx byggesagsarkiv) eller publicering af dagsordner som led i udvalgsarbejde. Det indebærer en mulighed for, at der sker utilsigtet offentliggørelse af personoplysninger.

Utilsigtet offentliggørelse af personoplysninger opstår typisk, hvis dokumenter ikke er blevet gennemgået tilstrækkelig grundigt forud for offentliggørelse med henblik på at fjerne de personoplysninger, der ikke må offentliggøres. Utilsigtet offentliggørelse kan også opstå, når personoplysninger eksempelvis er skjult i metadata eller bilag, uden at den, der offentliggør dokumentet, er klar over det.

Ved at styre processen med at offentliggøre data kan man nedbringe sandsynligheden for utilsigtet offentliggørelse. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at der offentliggøres personoplysninger, som kan misbruges af ondsindede personer.

Hvis der alligevel bliver offentliggjort personoplysninger ved en fejl, kan en efterfølgende kontrol evt. opdage det. Der vil hermed være tale om en korrigerende foranstaltning, som opdager offentliggjorte oplysninger, standser et brud og måske derved mindsker skaden (konsekvensen) ved bruddet.

Hvilke tiltag kan overvejes?

Nedenfor er der en række forslag til tiltag, der kan overvejes, når man offentliggør materiale, som kan indeholde personoplysninger. Disse tiltag kan nedbringe risikoen ved processen for offentliggørelse. Derudover er der også forslag til korrigerende tiltag, som kan opdage, hvis personoplysninger utilsigtet er blevet offentliggjort, og derved nedbringe varigheden af en eventuel utilsigtet offentliggørelse. Listen er ikke udtømmende.

Forebyggende tiltag gennem kontroller før offentliggørelse af materiale

  • En medarbejder gennemgår materialet – dvs. både indhold og metadata – for unødige personoplysninger, før det offentliggøres på internettet, organisationens intranet, i fysiske blade (fx medlemsblad i en forening) e.l.
  • En anden medarbejder gennemgår både indhold og metadata for unødige personoplysninger (fire-øjne-princippet).
  • Det beskrives i interne retningslinjer, hvornår og hvordan der skal udføres henholdsvis kontrol og dobbeltkontrol. Det vil sige: hvad skal kontrollerne bestå af, hvem der skal udføre dem, og hvornår i offentliggørelsesprocessen det skal ske.
  • Det tjekkes, at sorte ”bjælker” og markeringer i materialet ikke kan fjernes og ikke er delvist gennemsigtige, og dermed sikres det, at unødige personoplysninger effektivt er fjernet fra det offentliggjorte materiale, og ikke blot er ”dækket”.
  • Der zoomes ind på billeder for at undersøge, om de indeholder unødige personoplysninger, som ikke ellers er umiddelbart synlige/letlæselige.
  • Når billeder eller videoer skal offentliggøres, sikres det, at baggrunden i billedet eller de omgivelser, som videoen er optaget i, ikke afslører unødige personoplysninger. Dette kan fx være åbenlyse tegn på sygdom eller strafbare forhold. Et eksempel på dette kan være et billede af en person, hvor der i baggrunden er en tavle eller pc-skærm med helbredsoplysninger. Det kan også være mere indirekte, fx ved at adressen/klinikken for en patients opholdssted, eller den artikel, som billedet er tilknyttet, afslører præcist, hvilken sydom patienten på billedet lider af.
  • Der gennemføres en teknisk scanning af alt materiale, før det offentliggøres. Dette kan ske via DLP-værktøjer (Data Leak Prevention). Det er værktøjer, som kan scanne for bestemte datatyper i dokumenter mv., og herefter advare, inden der sker utilsigtet offentliggørelse.
  • Det undersøges, om samtlige kontroller (de manuelle og tekniske) dækker både maskinskreven tekst, håndskreven tekst, metadata (fx knyttet til dokumenter, Digital Post eller et digitalt signatur/signaturbevis), alle relevante filtyper, billeder, skjulte celler eller ekstra ark i regneark og bagvedliggende data i grafer, samt at kontrollerne dækker alle relevante typer af personoplysninger. Hvis ikke det gør, behøver det ikke at være et problem, men det kan vise behov for flere kontroller, der tilsammen dækker alle data.
  • Medarbejdere, som har til opgave at offentliggøre materiale, er undervist i, hvordan man finder og frasorterer personoplysninger. De skal have de nødvendige værktøjer til at gennemgå materialet og er oplært i at anvende disse. Se også foranstaltningen om sammenhæng mellem brugerkompetencer, adgangsrettigheder og opgaver og brud 4 i den vejledende tekst om 10 typiske brud på persondatasikkerheden.
  • Der er retningslinjer for anvendelse af neutrale betegnelser i alle dokumenter, hvor disse betegnelser kan erstatte personoplysninger. Eksempelvis kan navne i en sag erstattes med begreber som ”kunden”, ”kundens ægtefælle”, ”patienten”, ”behandleren”, ”klageren”, ”den indklagede”, ”den sigtede”, ”den tiltalte”. Derved skal færre (måske ingen) personoplysninger slettes for at anonymisere dokumentet, hvis dokumentet udvælges til offentliggørelse.
  • Offentliggøres oplysninger i et webarkiv – fx for at sikre let tilgang til oplysninger om ejendomme – sikres det, at unødige personoplysninger er udeladt/slettet. Det kan eksempelvis være korrespondance, der ikke vedrører konkrete forhold om ejendommen, e-mailadresser, telefonnummer samt navn og adresse for personer, som er underlagt navne- og adressebeskyttelse.

Korrigerende tiltag gennem kontroller på offentliggjort materiale

Ovenstående tiltag overvejes også i forbindelse med kontrol efter offentliggørelse af materiale i det omfang, de giver mening. Derudover er der følgende tiltag, som primært retter sig mod offentliggjort materiale:

  • Efter offentliggørelse af materialet tjekkes det løbende, om materialet indeholder unødige personoplysninger. Dette kan foretages med et scanningsværktøj, som søger efter sekvenser af karakterer, eksempelvis 10 tal som kan repræsentere et personnummer eller bestemte ord, som fx kan repræsentere diagnoser (databeskyttelsesforordningens artikel 9).
  • Er der fejlagtigt offentliggjort personoplysninger, tjekkes det, om disse oplysninger også fremgår på andres hjemmesider, fx søgemaskiners cache og Wayback Machine, der lagrer historisk indhold. Hvis det er sket, forsøges det at få oplysningerne slettet ved at kontakte udbyderne.
  • Det undersøges, om værktøjer, som anvendes til scanning før eller efter offentliggørelse, har begrænsninger. Eksempler på sådanne begrænsninger kan være, hvis værktøjet ikke kan scanne for håndskrevne noter, tekst i indscannede billeder eller tekst i dårlig opløsning. Hvis der er en sådan begrænsning, hvor scanningsværktøjet ikke opdager personoplysninger, fastlægges der en særlig proces for kontrol for sådanne forhold. Sådan en proces kan eksempelvis være, at alle indscannede billeder eller håndskrevne noter udtages til en manuel gennemgang.

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der konkret er relevante for at nedbringe risikoen ved processen for offentliggørelse af information, som kan indeholde personoplysninger.

Mange myndigheder behandler personoplysninger, herunder af fortrolig og følsom karakter, og offentliggør ofte dokumenter eller oplysninger af principiel karakter, eller som er af almen interesse. Derfor er kontrol af materiale før offentliggørelse særlig relevant for sådanne myndigheder.

Dataansvarlige, der modtager eller udarbejder materiale med henblik på offentliggørelse (typisk relevant offentlige myndigheder), og hvor materialet ofte indeholder personoplysninger, herunder i form af metadata, skal have forebyggende foranstaltninger for at undgå utilsigtet offentliggørelse af personoplysninger. Det indebærer som minimum en proces for at gennemgå materialet og slette personoplysninger, der ikke skal offentliggøres. Kan materialet almindeligvis indeholde fortrolige oplysninger (fx et personnummer eller oplysninger om en beskyttet adresse) eller følsomme oplysninger (oplistet i artikel 9 i databeskyttelsesforordningen), vil det normalt være relevant med en supplerende manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret som tiltænkt – før offentliggørelse af materialet.

En automatisk scanning af allerede offentliggjort materiale kan være nødvendig på grund af følgende:

  • Scanningen kan opdage mangler ved de kontroller, der burde have fjernet personoplysninger før offentliggørelse af materialet. Scanningen kan på den måde opdage og standse brud på persondatasikkerheden.
  • Scanningen kan omfatte materiale, der er offentliggjort på et tidligere tidspunkt, hvor kontroller – som den gang blev udført før eller efter offentliggørelse af materialer – var mindre effektive. Eksempelvis kan scanningsværktøjet være blevet mere effektivt i mellemtiden, eller manuelle kontroller har manglet ved tidligere offentliggørelser.

En automatisk scanning af allerede offentliggjort materiale kan være relevant, jf. databeskyttelsesforordningens artikel 32, stk. 1, litra d, om periodisk afprøvning af sikkerhedsforanstaltningers effektivitet, fordi det er en afprøvning af, om andre eller tidligere udførte kontroller var effektive nok.