Hermed sendes besvarelse af spørgsmål nr.<DOCUMENT_START> 44 (Alm. del), som Folketingets Udvalg for Videnskab og Teknologi har stillet til justitsministeren den 4. februar 2008.

 

 

 

Lene Espersen

/

 Ole Hasselgaard

 

Spørgsmål nr. 44 af 4. februar 2008 fra Folketingets Udvalg for Videnskab og Teknologi (Alm. del):

 

”Ministeren udtaler i samme on-line nyhed på computerworld.dk (29. november 2007), at der ikke er behov for sådan en lov. Hvis uheldet er ude, og uvedkommende får kendskab til personfølsomme oplysninger, så må der tages de nødvendige skridt til at afbøde de gener, som dette indebærer for de berørte personer. "I den forbindelse vil det navnlig kunne være relevant hurtigt at give underretning til de berørte borgere." Ministeren bedes på denne baggrund redegøre for, hvorfor så få berørte borgere i Danmark hurtigt bliver underrettet om tab af personfølsomme data?”

 

Svar:

 

Justitsministeriet har til brug for besvarelsen af spørgsmålet indhentet en udtalelse fra Datatilsynet, der har oplyst følgende:

 

”1. Tilfælde af tab eller kompromittering af data forekommer i Datatilsynets praksis navnlig i to typer sager. For det første sager om utilsigtet offentliggørelse af personoplysninger på internettet. For det andet sager, hvor personoplysninger som følge af en sikkerhedsbrist er kommet til uvedkommendes kendskab, eller der foreligger en risiko for, at noget sådant kan ske.

 

2. Datatilsynet kan ikke oplyse præcist, i hvor mange af de sager, som tilsynet har behandlet de seneste 5 år, der har været spørgsmål om, at uvedkommende har fået kendskab til følsomme personoplysninger. Sager af denne karakter er ikke specifikt markeret i tilsynets journalsystem, og antallet kan derfor ikke umiddelbart søges frem.

 

Antallet af sager om utilsigtet offentliggørelse af personoplysninger på internettet, som tilsynet har behandlet i perioden fra 2003-2007, anslås til mellem 40 og 50. I samme periode anslås antallet af sager i tilsynet, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist, til mellem 30 og 40.

 

3. I sager om utilsigtet offentliggørelse af personoplysninger på internettet, har Datatilsynet – i hvert fald siden 2003 – stillet spørgsmål om og lagt vægt på, om den myndighed eller virksomhed, som utilsigtet er kommet til at offentliggøre fortrolige eller følsomme personoplysninger, har underrettet de berørte borgere.

 

Den dataansvarliges underretning af de berørte borgere har i praksis enten bestået i en individuel underretning eller i en underretning via medierne. Afgørende for valget af underretningsmetode har bl.a. været antallet af berørte borgere samt muligheden for at finde frem til den berørte borgers adresse mv.

 

Datatilsynet har netop på sin hjemmeside offentliggjort retningslinier om håndtering af en situation, hvor der utilsigtet er blevet offentliggjort personoplysninger på internettet. Teksten er en sammenfatning af tilsynets praksis og indeholder under henvisning til persondatalovens § 5, stk. 1, om god databehandlingsskik bl.a. en anbefaling om underretning af berørte personer.

 

4. Efter Datatilsynets opfattelse vil det ligeledes i sager, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.

 

I praksis har Datatilsynet imidlertid endnu ikke fundet anledning til at stille krav herom i en konkret sag.

 

Det bemærkes i den forbindelse, at sikkerhedsbristen i en stor del af de sager, som tilsynet har behandlet, har bestået i, at flere adressater er anført i ”til-feltet” i en e-mail. I sådanne tilfælde vil adressaterne alle have modtaget den pågældende e-mail, og de vil dermed kende til den skete fejl.

 

Endvidere har Datatilsynet normalt offentliggjort sin udtalelse i sager om sikkerhedsbrister, hvilket ofte har ført til omtale i medierne. Berørte personer er således på denne måde blevet opmærksomme på sagen.

 

Datatilsynet behandler for tiden en konkret sag om en sikkerhedsbrist. I denne sag har den ansvarlige virksomhed – inden Datatilsynet kom ind i sagen – orienteret de registrerede om, at deres oplysninger er kommet til uvedkommendes kendskab.

 

Umiddelbart finder Datatilsynet, at et krav om underretning af berørte personer forudsætter en nuanceret analyse af fordele og ulemper i de forskellige situationer. Sikkerhedsbrister i it-systemer kan således have vidt forskellig karakter, og der kan tænkes en række tilfælde, hvor brugerne næppe har behov for endsige nytte af at kende til en sådan brist, mens det i andre tilfælde er nødvendigt og oplagt – herunder for virksomheden eller myndigheden selv – at informere berørte personer.

 

5. Datatilsynet har ikke nærmere kendskab til den omtalte amerikanske lovgivning på området, herunder om grundlaget og forudsætningerne for at indføre en sådan regulering er sammenlignelige med danske forhold, f.eks. i forhold til anden forbrugerbeskyttelseslovgivning.”

 

Som det fremgår af Datatilsynets udtalelse, følger det – i overensstemmelse med princippet om god databehandlingsskik i persondatalovens § 5, stk. 1 – af Datatilsynets praksis, at den ansvarlige myndighed eller virksomhed, hvis de berørte personer ikke allerede ved, at deres oplysninger har været offentliggjort, bør underrette de pågældende i tilfælde af utilsigtet offentliggørelse af personoplysninger på internettet. En sammenfatning af Datatilsynets praksis er tilgængelig på tilsynets hjemmeside på adressen:

http://www.datatilsynet.dk/borger/internettet/utilsigtet-offentliggoerelse/

 

Også når det drejer sig om personoplysninger, som kommer til uvedkommendes kendskab som følge af en sikkerhedsbrist, eller der foreligger en risiko herfor, gælder princippet om god databehandlingsskik i persondatalovens § 5, stk. 1.

 

Efter persondataloven kan der således allerede i dag stilles krav om, at berørte borgere, når det er relevant, får underretning om, at uvedkommende har fået kendskab til personlige oplysninger om dem. Justitsministeriet finder derfor, at der ikke er behov for (yderligere) at lovgive på området.