U

Viden

Nyheder

Specialerhidden

Mennesker

Arrangementer

Om os

Karriere

Ukendskab til teknikken diskulperer ikke – tværtimod

Datatilsynet har udtalt alvorlig kritik af en myndighed, som ikke anonymiserede personoplysninger om whistleblowere korrekt inden udlevering til en journalist i forbindelse med en aktindsigtsanmodning.

Databeskyttelsesforordningen indeholder et krav om, at dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger, som passer til de risici, der er forbundet med behandlingen af personoplysninger. I denne sag skulle Datatilsynet vurdere, om en offentlig myndigheds foranstaltninger i forbindelse med anonymisering og besvarelse af aktindsigtsanmodninger var tilstrækkelige.

Sagen startede, da myndigheden efter offentlighedslovens regler meddelte en journalist aktindsigt i henvendelser vedrørende god skik for finansielle virksomheder, som myndigheden havde modtaget i sin whistleblowerpostkasse (før whistleblowerlovens ikrafttræden).

Myndigheden fjernede personoplysningerne i materialet ved at overstrege oplysningerne i et pdf-dokument. Visse af disse oplysninger kunne dog fortsat tilgås af journalisten ved at holde musemarkøren hen over overstregningerne i pdf-dokumentet. Journalisten kunne på den måde blandt andet se en whistleblowers mailadresse.

Myndigheden oplyste til Datatilsynet, at arbejdsbeskrivelsen for ekstrahering af oplysninger på tidspunktet for sikkerhedsbruddet var følgende: ”Ekstraheringen af oplysninger vil i praksis ske ved, at man som sagsbehandler overstreger alt det, som ikke er omfattet af ekstraheringspligten.” Herudover var der ”sidemandsoplæring” i ekstrahering. I praksis foregik ekstraheringen ved overstregning med tusch eller ved digitalt at erstatte personoplysninger med bogstaver.

Myndigheden oplyste også, at den mangelfulde anonymisering skyldtes, at myndigheden ikke var klar over, at det var muligt at tilgå oplysninger, som var overstregede i et pdf-dokument – altså at myndigheden ikke var klar over, at det også var nødvendigt at slette underliggende lag af oplysninger og metadata.

Ikke passende sikkerhedsforanstaltninger
Datatilsynet bemærkede, at kravet om passende sikkerhedsforanstaltninger medfører en forpligtelse for dataansvarlige til at sikre, at anonymiserede oplysninger bliver fuldstændigt utilgængelige, herunder at relevant metadata og underliggende lag af data bliver slettet. Derfor skal dataansvarlige have fuldt teknisk kendskab til de programmer, som anvendes til anonymisering, og brugerne heraf skal instrueres klart og præcist i forhold til, hvordan alle anonymiserede personoplysninger slettes fuldstændigt.

Tilsynet understregede, at risici for de registreredes rettigheder generelt må anses for at være høj, når der er tale om behandling af oplysninger fra en whistleblowerordning. Dataansvarlige skal derfor være særligt opmærksomme, når de behandler oplysninger fra en whistleblowerordning.

Under henvisning hertil vurderede Datatilsynet i denne sag, at myndigheden ikke havde opfyldt forpligtelsen til at have passende tekniske og organisatoriske sikkerhedsforanstaltninger, både fordi der ikke var nok kendskab til de anvendte programmer, og fordi brugerne af programmerne ikke var instrueret på tilstrækkelig vis. Det indgik i vurderingen, at det ifølge Datatilsynet er alment kendt, at tilstrækkelig anonymisering forudsætter sletning af underliggende lag af data og metadata, når der er tale om anvendelse af tekniske programmer, som var tilfældet her. Dette fremgik ikke klart af den arbejdsbeskrivelse, der var tilgængelig for myndighedens medarbejdere, og tilsynet bemærkede, at sidemandsoplæring ikke kan erstatte en klar og præcis instruktion i korrekt anonymisering fra den dataansvarslige.

Datatilsynet udtalte derfor alvorlig kritik af, at myndighedens behandling af personoplysninger ikke levede op til reglerne om behandlingssikkerhed.

Norrbom Vinding bemærker

  • at afgørelsen er et godt eksempel på, at både offentlige myndigheder og private virksomheder bør etablere klare og præcise procedurer for, hvordan personoplysninger anonymiseres, fx i forbindelse med besvarelsen af anmodninger om aktindsigt efter offentlighedsloven, forvaltningsloven og databeskyttelsesforordningen, hvilket gælder både i forhold til vurderingen af, hvilke oplysninger der skal udleveres henholdsvis anonymiseres, og hvordan anonymiseringen rent teknisk skal foretages,
  • at afgørelsen også viser, at dataansvarlige skal være særligt opmærksomme på risici i forbindelse med behandling af oplysninger indsamlet som led i en whistleblowerordning, og
  • at dataansvarlige, hvis en whistleblowerordning er underlagt whistleblowerloven, desuden skal være opmærksomme på den meget strenge tavshedspligt, der gælder for oplysninger indberettet via en sådan whistleblowerordning, hvilket fører til, at der er meget begrænset adgang til indsigt i sådanne oplysninger.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.