KL Weidekampsgade 10 2300 København S Sendt pr. brev samt på mail til MIH@kl.dk 15. april 2011 Vedrørende sikkerhedsbrist som følge af KL s overførsel af køreprøvebooking system til en cloud-løsning Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29 Datatilsynet er via en henvendelse fra Dansk Kørelærer-Union blevet opmærksom på, at der har været en sikkerhedsbrist i køreprøvebooking systemet. Til orientering vedlægges telefonnotater. Telefon 3319 3200 Fax 3319 3218 E-post dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2011-631-0136 Sagsbehandler Vita Horneman Direkte 3319 3232 Datatilsynet er endvidere blevet opmærksom på sikkerhedsbristen via en artikel på Version2: http://www.version2.dk/artikel/18671- koereproevebooking-paa-glatis-applikationsfejl-faar-kl-ognnit-til-at-droppe-skyen Datatilsynet har drøftet sagen telefonisk med KL den 12. april 2011. I henhold til persondatalovens 1 58, stk. 1, påser Datatilsynet af egen drift eller efter klage fra en registreret, at behandling af personoplysninger finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. Datatilsynet har besluttet at undersøge sagen af egen drift. Datatilsynet skal i den forbindelse anmode KL om en redegørelse om følgende punkter: 1. Dataansvaret i forbindelse med overførslen til cloud-løsningen Datatilsynet går ud fra, at ansvaret for behandling af personoplysninger i forbindelse med kørekortbooking som udgangspunkt ligger hos de enkelte kommuner. I forhold til overførslen til cloud-løsningen er det Datatilsynets indtryk, at beslutningen er truffet af KL og ikke hver enkelt kommune. Det rejser efter Datatilsynets opfattelse et spørgsmål om, hvorvidt KL reelt har handlet som dataansvarlig 2 i denne henseende. 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 2. I lovens 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
2 KL bedes oplyse, om beslutningen om at overføre systemet til en cloudløsning er truffet af KL, og hvordan KL opfatter sin rolle i den forbindelse. 2. Oplysningernes karakter og antallet af berørte personer Datatilsynet er bekendt med, at der i hvert fald skulle være tale om oplysninger om personnumre, navne og email-adresser på kørelærerne samt oplysninger om elevernes personnumre og ikke-beståede og beståede prøver. Datatilsynet har imidlertid ikke et fuldstændigt overblik over, hvilke oplysninger der indgår. KL bedes derfor oplyse, hvilke oplysningstyper der indgår for hver af de to persongrupper, kørerlærere og elever. Indgår der f.eks. både navne, adresser og personnumre på eleverne? Indgår der oplysninger om betalingskort? KL bedes endvidere oplyse, hvor længe oplysningerne lagres i løsningen, og hvor gamle de ældste oplysninger, der har været overført, er, samt hvor mange personer der er berørt af det skete, herunder antal kørelærere og antal elever. 3. Anmeldelsespligten til Datatilsynet Datatilsynet lægger til grund, at de oplysninger, som behandles i forbindelse med ansøgning om kørekort, omfatter fortrolige oplysninger. Dette gælder efter tilsynets opfattelse også oplysningerne i et system til køreprøvebooking, hvori bl.a. behandles oplysninger om beståede og ikke-beståede prøver. Dermed er kommuners behandling af personoplysninger i dette system omfattet af anmeldelsespligten til Datatilsynet efter persondataloven 3. Datatilsynets lægger endvidere til grund, at den kommunale fællesanmeldelse Udstedelse af pas og kørekort omfatter behandlinger af personoplysninger i køreprøvebookingsystemet. Det bemærkes herved, at KL tidligere har fremsendt 4 ændring til fællesanmeldelsen netop vedrørende køreprøve-bookingsystemet. Anmeldelserne til Datatilsynet skal ifølge persondataloven 5 bl.a. indeholde oplysninger om navn og adresse på de databehandlere, der benyttes. Når der sker ændringer i disse oplysninger, er der efter loven også pligt til at anmelde ændringerne 6 til Datatilsynet. I kommunernes anmeldelser af Udstedelse af pas og kørekort ses hverken Microsoft eller NNIT anført som databehandler. 3 Se persondatalovens kapitel 12 4 KL s henvendelse af 6. oktober 2008 (vedr. videregivelse til politiet). 5 Se lovens 43, stk. 2 6 Se lovens 46
3 KL bedes oplyse, hvorfor anmeldelserne ikke er ændret ved anvendelsen af Microsoft i Irland som databehandler. KL bedes endvidere tage initiativ til at få opdateret kommunernes fællesanmeldelser Udstedelse af pas og kørekort, således at NNIT anføres som databehandler. 4. Overførsel af personoplysninger til tredjelande? Af fællesanmeldelsen Udstedelse af pas og kørekort fremgår, at der ikke overføres oplysninger til tredjelande. KL bedes fremsende oplysninger om, hvilke fysiske lokationer (adresser) oplysningerne har været behandlet på i forbindelse med anvendelsen af cloudløsningen. Hvis personoplysninger har været behandlet på lokationer uden for EU, bedes KL redegøre for, hvordan man har iagttaget persondatalovens 27. 5. Sikkerhedsbristen Ifølge de oplysninger, som Datatilsynet har modtaget, har oplysninger om samtlige elever og kørelærere været tilgængelige for samtlige brugere af løsningen, herunder alle kørelærerne. KL bedes oplyse, om dette er korrekt og endvidere oplyse, hvor mange brugere der er tale om, og om det alene er kørelærere, eller om der også er tale om ansatte hos kommunerne og/eller politiet? KL bedes endvidere beskrive, hvordan brugeradgangen under normale omstændigheder er indrettet. Da KL telefonisk har oplyst, at løsningen har sammenhæng med flere fødesystemer, muligvis CPR, bedes det oplyst, hvilke systemer der er tale om, herunder om der er adgang til CPR eller kommunale systemer med oplysninger fra CPR. Det bedes endvidere oplyst, hvordan adgangen til data fra sådanne systemer sker, og om de opståede fejl kan have givet nogen uvedkommende mulighed for at tilgå data i fødesystemerne. 6. Gennemgang af loggen Datatilsynet lægger som nævnt under punkt 3 til grund, at løsningen rummer behandling af fortrolige personoplysninger og er omfattet af anmeldelsespligten. Dette indebærer i forhold til sikkerhedskravene, at såvel kapitel 1og 2, som kapitel 3 i sikkerhedsbekendtgørelsen 7 gælder, herunder logningskravet i bekendtgørelsens 19. 7 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
4 KL bedes ved hjælp af loggen undersøge, i hvilket omfang personoplysningerne har været tilgået, herunder om der er brugere, som har set oplysninger, som må antages at være dem uvedkommende. 7. Håndtering af persondatalovens og sikkerhedsbekendtgørelsens krav ved overførslen til Microsofts cloud-løsning i Irland KL har telefonisk oplyst, at løsningen har været overført til en cloud-løsning hos Microsoft i Irland (Microsoft Azure). KL bedes redegøre for, hvordan man sikrede sig, at persondatalovens og sikkerhedsbekendtgørelsens krav blev iagttaget ved overførslen til den omhandlede cloud-løsning. Herunder ønskes navnlig følgende belyst: 7.1. Hvilken databehandleraftale blev indgået (kopi bedes fremsendt). 7.2. Hvordan det er sikret, at alle personoplysninger nu er effektivt slettet hos Microsoft. 8. Orientering af de berørte personer Hvis personoplysninger som følge af en sikkerhedsbrist har været tilgængelige for uvedkommende, vil det afhængigt af de konkrete omstændigheder følge af persondatalovens grundregel i 5, stk. 1, om god databehandlingsskik, at den ansvarlige virksomhed eller myndighed skal underrette de berørte personer. KL bedes oplyse, hvorvidt man har underrettet de berørte personer. Hvis underretning ikke allerede er sket, finder Datatilsynet, at KL må overveje dette, og at det i den forbindelse bl.a. må tages i betragtning, hvilke oplysninger der har været tilgængelige, jf. spørgsmål 2, samt i hvilket omfang oplysningerne har været tilgået, jf. spørgsmål 6. 9. Forholdet til kommunerne Som nævnt under punkt 1 ligger ansvaret for behandling af personoplysninger i forbindelse med kørekortbooking som udgangspunkt hos de enkelte kommuner. KL bedes oplyse, hvorvidt kommunerne er orienteret om det skete. KL bedes endvidere oplyse, hvordan KL fremover vil håndtere de personoplysninger, som indgår i de kommunale løsninger, herunder hvordan det sikres, at det er kommunerne som dataansvarlige, der træffer de væsentlige beslutninger vedrørende behandlingen af personoplysninger.
5 Afsluttende bemærkninger Datatilsynet skal anmode om svar senest 3 uger fra dags dato. Kopi af dette brev sendes til Dansk Kørelærer-Union Med venlig hilsen Lena Andersen Kontorchef Bilag: Telefonnotater vedr. samtaler med René Arnt, Dansk Kørelærer- Union og Michael Hald, KL