The last time Hackerfall tried to access this page, it returned a not found error. A cached version of the page is below, or clickhereto continue anyway

Datatilsynet: Anbefalet brev afleveret til en forkert modtager

Anbefalet brev afleveret til en forkert modtager

Brevdato: 15.07.16

Journalnummer: 2015-321-0307

Datatilsynet vender hermed tilbage til sagen, hvor Danmarks Statistisk den 18. februar 2015 orienterede Datatilsynet om, at en anbefalet postforsendelse fra Statens Serum Institut (SSI) til Danmarks Statistik ved en fejl var blevet afleveret til Chinese Visa Application Centre. Brevet, som indeholdt to cder med data, var bent, da Danmarks Statistik modtog det.

Efter anmodning fra Datatilsynet er SSI fremkommet med udtalelser den 20. marts og 10. september 2015.

De to cder indeholdt data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012. Cderne indeholdt oplysninger om personnumre og helbredsoplysninger, men ikke navn og adresse. Cderne var IKKE krypterede.

I den anledning skal Datatilsynet understrege, at SSIs behandling af personoplysninger skal leve op til kravet om forndne sikkerhedsforanstaltninger i persondatalovens1  41, stk. 32.

Datatilsynet har tidligere som led i en inspektion af SSI anbefalet, at datamedier krypteres ved forsendelse med almindelig postforsendelse3.  Efter Datatilsynets opfattelse er kryptering ligeledes en relevant og afhngigt af de konkrete omstndigheder evt. ogs en ndvendig sikkerhedsforanstaltning, nr datamedier sendes med anbefalet post.

Datatilsynet har noteret sig det oplyste om, at SSI foranlediget af den konkrete henvendelse ndrer sine retningslinjer for fremsendelse af datamedier i breve, sledes at data fremover altid skal krypteres.

Sprgsmlet om underretning af de berrte personer Efter Datatilsynets praksis vil det i tilflde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har vret i risiko herfor som flge af en sikkerhedsbrist afhngigt af de konkrete omstndigheder flge af persondatalovens grundregel om god databehandlingsskik4, at den ansvarlige myndighed eller virksomhed skal underrette de berrte personer.

SSI har oplyst, at:

Forskerservice er bekendt med Datatilsynets praksis, hvorefter det i tilflde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har vret i risiko herfor som flge af en sikkerhedsbrist afhngigt af de konkrete omstndigheder vil flge af persondatalovens grundregel om god databehandlingsskiks, at den ansvarlige myndighed eller virksomhed skal underrette de berrte personer. Ved vurderingen af sprgsmlet om underretning m den dataansvarlige blandt andet tage oplysningernes karakter og de mulige konsekvenser for de berrte personer i betragtning.

Det er Forskerservices opfattelse, at der var tale om flsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berrte personer, sfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab.

Det er imidlertid Forskerservices opfattelse, at de oplysninger, der fejlagtigt blev afleveret til Chinese Visa Application Centre, hverken kom andre personer i hnde eller blev set af andre personer.

Forskerservice rettede sledes umiddelbart efter henvendelse til Chinese Visa Application Centre ved modtagelsen af beskeden om fejlafleveringen fra Danmarks Statistik. Den berrte medarbejder hos Chinese Visa Application Centre fortalte, at hun havde modtaget brevet, kvitteret for dette og bnet det ved en fejl. Idet hun konstaterede, at brevets rette modtager var Danmarks Statistik, gik hun over til Danmarks Statistik og afleverede brevet. Forskerservice har bedt om skriftlig bekrftelse p dette (bekrftelse vedlagt som bilag 4). Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer sledes, at der ikke er tale om et bevist brud p brevhemmeligheden efter straffelovens 263 stk. 1, nr. 1, og at ingen uberettiget har set de pgldende flsomme oplysninger

Det er p baggrund heraf Forskerservices vurdering, at det ikke har haft nogen faktiske konsekvenser for de personer, hvis data fejlagtigt af Post Danmark blev udleveret til men ikke set af en medarbejder hos Chinese Visa Application centre, hvorfor Forskerservice ikke mener, at der skal gives information til de berrte personer eller offentligheden p baggrund heraf.

Datatilsynet har noteret sig det oplyste om SSIs overvejelser og kan efter omstndighederne tiltrde konklusionen om ikke at fremsende individuel information til de berrte personer.

Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggre dette brev p sin hjemmeside.

Datatilsynet foretager sig ikke yderligere i sagen.

______________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ndringer.2Af persondatalovens 41, stk. 3, fremgr, at der skal trffes de forndne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hndeligt eller ulovligt tilintetgres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i vrigt behandles i strid med loven.. 3Datatilsynets udtalelse af 17. juni 2013 (j.nr. 2012-621-0004)4Det flger sledes af 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder iflge lovens forarbejder, at behandlingen skal vre rimelig og lovlig. Endvidere fremgr det, at en rimelig behandling bl.a. forudstter, at registrerede personer kan f kendskab til en behandlings eksistens og, nr der indsamles oplysninger hos dem, kan f njagtige og fyldestgrende oplysninger med hensyn til de nrmere omstndigheder ved indsamlingen, jf. lovens 28 og 29 om oplysningspligt.

Tilbage til alle afgrelser

Continue reading on www.datatilsynet.dk