Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Transkript

1 Region Syddanmark Damhaven Vejle Sendt til 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, København K CVR-nr Telefon Fax [email protected] J.nr Sagsbehandler Christian Vinter Hagstrøm Datatilsynet er via medierne blevet opmærksom på, at Region Syddanmark har haft offentliggjort personoplysninger på internet, herunder bl.a. navne og personnumre. Datatilsynet har tidligere behandlet en sag, hvor Region Syddanmark var dataansvarlig for en offentliggørelse af en PowerPoint-præsentation indeholdende oplysninger om personnumre og lungekapacitet på omkring lungecancer patienter. Af Datatilsynets udtalelse af 15. oktober 2009 i den sag fremgår bl.a. følgende: Region Syddanmark vil ved hjælp af regionens intranet oplyse om og indskærpe de gældende retningslinjer over for medarbejderne. Region Syddanmark vil således ved indskærpelse af ovennævnte retningslinjer tage de nødvendige forholdsregler til sikring af, at der ikke fremtidigt sker uberettiget offentliggørelse af personoplysninger. Datatilsynet har desuden forespurgt Region Syddanmark, om regionen vil foretage en gennemgang af samtlige internetsider, som regionen er ansvarlig for med henblik på at sikre, at, at personoplysninger ikke er offentligt tilgængelige. Region Syddanmark har dertil svaret, at regionen har sørget for, at alle, der er ansvarlige for de omhandlede hjemmesider, er blevet gjort bekendt med de gældende retningslinjer og henvendelsen fra Datatilsynet. Region Syddanmark finder herefter, at der er skabt sikkerhed for, at der ikke længere bør kunne opstå en lignende situation. Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Tilsynet skal på denne baggrund anmode Region Syddanmark om en redegørelse. Det bedes herunder oplyst: 1. Hvor mange personer der er offentliggjort oplysninger om 2. Hvilke oplysninger der er offentliggjort 3. Hvornår offentliggørelsen fandt sted 4. Hvad der var årsagen til det skete 5. Om der er offentliggjort et eller flere dokumenter 6. Om oplysningerne stammer fra et forskningsprojekt

2 2 7. Hvad Region Syddanmark har gjort for at afbøde konsekvenserne af den skete offentliggørelse, herunder fjernelse af oplysningerne fra nettet og underretning af de berørte personer 8. Om Region Syddanmark inden den skete offentliggørelse havde truffet forholdsregler for at undgå uberettiget offentliggørelse af personoplysninger, og i givet fald ønskes en beskrivelse af disse forholdsregler 9. Hvilken instruktion de medarbejdere, der har offentliggjort oplysningerne, har fået om håndtering af personoplysninger, jf. herved kravet i sikkerhedsbekendtgørelsens Hvad Region Syddanmark vil gøre for at sikre, at en lignende hændelse ikke sker igen. Datatilsynet skal anmode om svar senest 3 uger fra dags dato. Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside. Med venlig hilsen Lena Andersen Kontorchef Bilag: Datatilsynets udtalelse af 15. oktober Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. 2 Efter sikkerhedsbekendtgørelsens 6 skal den dataansvarlige myndighed give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af 5.

3 Region Syddanmark Damhaven Vejle Sendt til 15. oktober 2009 Vedrørende offentliggørelse af oplysninger hidrørende fra Dansk Lunge Cancer Register Datatilsynet Borgergade 28, København K CVR-nr Datatilsynet blev i august måned 2008 bekendt med, at der var offentliggjort personoplysninger i en PowerPoint-præsentation på hjemmesiden Telefon Fax E-post [email protected] J.nr Sagsbehandler Astrid Gade Direkte Ved e-post af 2. september 2008 anmodede Datatilsynet derfor Region Syddanmark om en udtalelse. I e-post af 13. oktober 2008 er Region Syddanmark fremkommet med en udtalelse i sagen. Det fremgår herefter, at der på hjemmesiden har været offentliggjort en PowerPoint-præsentation indeholdende personoplysninger på lungecancer patienter. Præsentationen indeholdt oplysninger om personnumre og oplysninger om lungekapacitet på omkring personer. PowerPoint-præsentationen, som havde titlen "Årsrapport DLCR Årsmøde den 16. juni 2004, blev gjort tilgængelig på Dansk Lunge Cancer Registers hjemmeside efter Dansk Lunge Cancer Registers årsmøde i 2004 Præsentationen indeholdt en kurve, hvor det var muligt at tilgå de bagvedliggende data i form af personnummer og oplysninger om personers lungefunktion, altså følsomme oplysninger i form af helbredsoplysninger. Præsentationen blev fjernet det følgende år, idet linket til PowerPointpræsentationen blev slettet. Selve PowerPoint-præsentationen befandt sig dog stadigvæk på Dansk Lunge Cancer Registers web-server, hvorfor det frem til den 29. august 2008 var muligt at tilgå denne ved at foretage avanceret søgning på Dansk Lunge Cancer Registers web-server. Samme dag som Dansk Lunge Cancer Register blev gjort opmærksom på problemet, nemlig den 29. august 2008, blev PowerPoint-præsentationen fjernet, ligesom alle andre PowerPoint-præsentationer på web-serveren blev det.

4 2 Det fremgår endvidere af sagen, at Dansk Lunge Cancer Register siden 2005 udelukkende har offentliggjort præsentationer i form af skrivebeskyttede pdffiler. Der er således nu ikke længere adgang til PowerPoint-præsentationer og dermed heller ikke til følsomme personoplysninger. Region Syddanmark har oplyst, at offentliggørelsen af PowerPoint-udgaven af præsentationen må anses for foretaget med Region Syddanmark som dataansvarlig myndighed, idet Region Syddanmark er dataansvarlig for Dansk Lunge Cancer Register, hvorfra de indlejrede data stammer. Ifølge det oplyste har præsentationen kun været tilgængelig på Dansk Lunge Cancer Registers hjemmeside og er ikke videregivet til andre offentlige myndigheder eller til private. I retningslinjer udarbejdet i Region Syddanmark i januar 2008 er der truffet forholdsregler mod uberettiget videregivelse af personoplysninger ved f.eks. offentliggørelse på hjemmesider. Region Syddanmark har oplyst, at regionen vil genudsende retningslinjerne på intranettet, ligesom retningslinjerne i øvrigt også i fremtiden vil være tilgængelige på regionens intranet. Det fremgår ligeledes af sagen, at Dansk Lunge Cancer Register har oplyst, at de medarbejdere, der har foretaget den omhandlede offentliggørelse herunder de i offentliggørelsen involverede medarbejdere - har modtaget instruktion i håndtering af personoplysninger. De involverede medarbejdere har således været eller burde have været bekendt med de for Region Syddanmark gældende retningslinjer for offentliggørelse. Forklaringen på den utilsigtede offentliggørelse må formodes at hænge sammen med ukendskab til funktionelle konsekvenser af anvendelse af Excel-filer i PowerPoint præsentationer. Som svar på Datatilsynets spørgsmål har Region Syddanmark desuden oplyst, at præsentationerne er blevet fjernet fra søgemaskiner på internettet. Region Syddanmark vil ved hjælp af regionens intranet, oplyse om og indskærpe de gældende retningslinjer over for medarbejderne. Region Syddanmark vil således ved indskærpelse af ovennævnte retningslinjer tage de nødvendige forholdsregler til sikring af, at der ikke fremtidigt sker uberettiget offentliggørelse af personoplysninger. Datatilsynet har desuden forespurgt Region Syddanmark, om regionen vil foretage en gennemgang af samtlige internetsider, som regionen er ansvarlig for med henblik på at sikre, at, at personoplysninger ikke er offentligt tilgængelige. Region Syddanmark har dertil svaret, at regionen har sørget for, at alle, der er ansvarlige for de omhandlede hjemmesider, er blevet gjort bekendt med de gældende retningslinjer og henvendelsen fra Datatilsynet. Region Syddanmark finder herefter, at der er skabt sikkerhed for, at der ikke længere bør kunne opstå en lignende situation.

5 3 Vedrørende oplysning til de berørte borgere er følgende oplyst: Angående PowerPoint-præsentationen, der indeholder indlejrede oplysninger i form af oplysninger om omkring lungecancer patienter, disses personnummer og udtrykket FeV2 vedrørende lungefunktion, mener Region Syddanmark ikke, det er nødvendigt at henvende sig individuelt til de enkelte personer. Regionen har oplyst, at de offentliggjorte oplysningen alene angav kapaciteten på personernes lungefunktion og ikke indeholdt andre følsomme personoplysninger. Denne fremgangsmåde og ikke personlig henvendelse til de berørte borgere er valgt under hensyn til, at de offentliggjorte oplysninger alene var kapaciteten på personernes lungefunktion og ikke indeholdt andre følsomme personoplysninger. Det må antages, at fremgangsmåden også er valgt under hensyn til, at de offentliggjorte oplysninger ikke indeholdt andre identifikationsoplysninger end personnumre, der kan henføre oplysningerne til de berørte, ligesom det ville være et uforholdsmæssigt stort arbejde at underrette personer. Datatilsynet skal herefter udtale følgende: Relevante regler i persondataloven Persondataloven 1 stiller i 41, stk. 3, krav om, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Persondatalovens 41, stk. 3, indeholder således en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikke-følsomme oplysninger, ligesom den dataansvarlige skal sikre sig, at myndighedens systemer, organisation og arbejdsgange indrettes således, at kravene i 41, stk. 3, efterleves. En nærmere udmøntning af 41, stk. 3, er bl.a. sket i sikkerhedsbekendtgørelsens 2 6, hvoraf det følger, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Det er Datatilsynets opfattelse, at en sikring af, at personoplysninger ikke uberettiget offentliggøres på en hjemmeside er omfattet af den dataansvarliges forpligtigelse efter lovens 41, stk. 3. Det er endvidere Datatilsynets opfattelse, at der navnlig i situationer, hvor der er en potentiel risiko for offentliggørelse af fortrolige og/eller følsomme personoplysninger, skal udvises særlig påpasselighed, både for så vidt angår til- 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer 2 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

6 4 rettelæggelsen af arbejdsgange og for så vidt angår indretningen af myndighedens systemer. Datatilsynet finder offentliggørelsen meget beklagelig Datatilsynet kan konstatere, at Dansk Lunge Cancer Register under Region Syddanmark har offentliggjort en PowerPoint-præsentation indeholdende oplysninger om personnumre og lungekapacitet på omkring personer. I det konkrete tilfælde, hvor personnumre og helbredsoplysninger er blevet offentliggjort, finder Datatilsynet ikke, at Region Syddanmark har udvist den fornødne omhu, og Region Syddanmark har dermed ikke overholdt kravene i persondatalovens 41, stk. 3. Datatilsynet finder det passerede meget beklageligt. Datatilsynet har noteret sig Region Syddanmarks oplysninger om de skridt, der påtænkes taget, for at undgå en lignende offentliggørelse i fremtiden. Datatilsynet kan ikke ud fra det af Region Syddanmark oplyste konstatere, om regionen har foretaget en gennemgang af alle de dokumenter mv., der allerede er offentliggjort på Region Syddanmarks hjemmesider. En sådan gennemgang vil kunne sikre, at der ikke er offentliggjort PowerPoint-præsentationer mv., der indeholder indlejrede personoplysninger, som ikke burde have været offentliggjort. Datatilsynet skal i denne forbindelse på ny gøre Region Syddanmark opmærksom på Datatilsynets breve af 22. og 26. november 2007 til alle offentlige myndigheder. Her har Datatilsynet bl.a. henstillet, at offentlige myndigheder øjeblikkeligt skal foretage en gennemgang af hjemmesider og sørge for, at der på myndighedernes hjemmesider ikke er adgang til materiale med personoplysninger, som ikke burde have været offentliggjort. Datatilsynet har endvidere opfordret til, at information om problemstillingen bliver formidlet til de relevante medarbejdere hos myndigheden, ligesom Datatilsynet har beskrevet, hvordan problemet med indlejrede oplysninger i PowerPoint-præsentationer kan undgås. Datatilsynet henstiller derfor, at Region Syddanmark såfremt dette ikke allerede er sket foretager en gennemgang af samtlige regionens hjemmesider for at sikre, at der på disse ikke er adgang til materiale med personoplysninger, som ikke burde have været offentliggjort. Underretning af de berørte personer og sletning fra søgemaskiner, herunder Google, Bing og lignende Hvis en myndighed ved en fejl er kommet til at lægge oplysninger, der ikke må offentliggøres, på internettet, skal myndigheden gøre hvad den kan for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens 5. Yderligere

7 5 oplysninger findes i Datatilsynets hjemmeside tekst Utilsigtet offentliggørelse på internettet 3. Hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort ved en fejl, bør de efter Datatilsynets opfattelse underrettes. Efter Datatilsynets opfattelse skal den dataansvarlige undersøge, om oplysningerne findes på internettets søgemaskiners, herunder Google og Bing og lignende, kopier af myndighedens sider og i givet fald sørge for, at oplysningerne fjernes derfra. Datatilsynet har noteret sig Region Syddanmarks svar vedrørende regionens konklusion om at undlade at orientere de omkring berørte personer. Efter det oplyste har Region Syddanmark således ikke rettet personlig henvendelse til de berørte borgere, idet de offentliggjorte oplysninger alene var kapaciteten på personernes lungefunktion og ikke indeholdt andre følsomme personoplysninger. Datatilsynet har herved tillige lagt vægt på, at de offentliggjorte oplysninger ikke indeholdt andre identifikationsoplysninger end personnumre. Der var således ikke navne eller lignende, som direkte kunne henføre oplysningerne til de berørte personer. Datatilsynet har endvidere noteret sig det oplyste om, at præsentationerne er blevet fjernet fra søgemaskiner på internettet. Afsluttende bemærkninger Datatilsynet skal anmode Region Syddanmark om senest den 2. november 2009 at informere tilsynet om, hvad regionen foretager sig i anledning af dette brev, herunder den meddelte henstilling. Datatilsynet skal for god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside. Med venlig hilsen Lena Andersen Kontorchef 3 Teksten findes her: