Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt
1995931_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
2. januar 2019
Databeskyttelseskontoret
Emilie Liv Loiborg
2018-0030-1851
943119
Hermed sendes besvarelse af spørgsmål nr. 228 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 5. december 2018.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Karin
Gaardsted (S).
Søren Pape Poulsen
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
Spørgsmål nr. 228 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren oplyse - eventuelt i fortrolig form - hvilke op-
lysninger, der gjorde, at virksomheden GoMentor ikke blev ori-
enteret om, at der pågik en undersøgelse af dem, jf. artiklen "Da-
tatilsynet tav om datalæk fra terapiportal: "Det ville spolere
efterforskningen"" fra Version2 den 29. november 2018?”
Svar:
Justitsministeriet har indhentet en udtalelse fra Datatilsynet, der over for mi-
nisteriet har oplyst følgende:
”Datatilsynet har i tilsynets bidrag til besvarelse af spørgsmål
nr. 227 fra Folketingets Retsudvalg (Alm. del) redegjort for, at
Datatilsynet i nogle sager – hvor et konkret brud på persondata-
sikkerheden indebærer, at personoplysninger om borgere ikke
ligger frit tilgængelige – vælger at foretage bevissikring af brud-
det, inden tilsynet underretter den ansvarlige virksomhed eller
myndighed derom.
Sagen med GoMentor er et eksempel på en af de sager, hvor Da-
tatilsynet har valgt at foretage bevissikring af bruddet, inden
virksomheden blev underrettet om sagen. I den konkrete sag
blev GoMentor orienteret om sagen af DR, inden tilsynet selv
kunne foretage underretning, da bevissikringen ikke var tilende-
bragt på tidspunktet for DR’s henvendelse. Det bemærkes i den
forbindelse, at det konstaterede brud var af systemteknisk ka-
rakter, hvorfor bevissikringen typisk er mere kompliceret, end
hvis et brud f.eks. skyldes en menneskelig fejl af en ansat eller
lignende.
Når Datatilsynet har valgt, at der skal foretages bevissikring i
forhold til det konkrete brud hos GoMentor, så skyldes dette, at
det konstaterede brud på persondatasikkerheden – efter Datatil-
synets opfattelse – er så alvorligt, at der er behov for håndhæ-
velse af databeskyttelsesforordningens artikel 32 om behand-
lingssikkerhed. Ved denne vurdering af alvorligheden har Data-
tilsynet bl.a. lagt vægt på, at de personoplysninger, der har kun-
net tilgås af uvedkommende, er af følsom karakter, herunder
helbredsoplysninger, og at klager havde været i kontakt med
GoMentor om bruddet, men at dette ikke fik GoMentor til at løse
problemerne med behandlingssikkerheden.
Det er som nævnt i bidraget til besvarelsen af spørgsmål nr. 227
fra Folketingets Retsudvalg (Alm. del) Datatilsynets opfattelse,
at en løbende håndhævelse af overtrædelser af bl.a. databeskyt-
telsesforordningens artikel 32 om behandlingssikkerhed gene-
2
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
relt vil medvirke til en øget beskyttelse af de registrerede borge-
res personoplysninger, da virksomheder og myndigheder gør
mere ud af at passe ordentligt på borgernes personoplysninger,
hvis de oplever, at reglerne bliver håndhævet.
Til Retsudvalgets orientering har Datatilsynet nedenfor udarbej-
det en over-sigt over tilsynets foreløbige sagsbehandlingsskridt
i sagen med GoMentor.
24. august 2018:
Klager orienterer pr. e-mail Datatilsynet om, at hun har kunnet
tilgå andre personers personoplysninger, herunder deres korre-
spondance med mentorer, på www.gomentor.dk. Klager oplyser
samtidig, at hun gerne er Datatilsynet behjælpelig med yderli-
gere oplysninger, screenshots mv.
29. august 2018:
En journalmedarbejder gennemgår klagers e-mail og opretter
sagen i Datatilsynets sagsbehandlingssystem, hvorefter sagen
kan fordeles til en sagsbehandler.
11. september 2018:
Datatilsynet kontakter klager telefonisk og beder hende frem-
sende det yderligere materiale, hun har til rådighed.
14. september 2018:
Klagers brev med yderligere materiale modtages i Datatilsynet,
hvor det indscannes og akteres på sagen.
17. september 2018:
En IT-sikkerhedskonsulent i Datatilsynet gennemgår det mod-
tagne materiale.
20. september 2018:
Datatilsynet iværksætter egen bevissikring i sagen. Bevissikrin-
gen pågår i perioden fra den 20. september til den 4. oktober
2018.
28. september 2018:
Klager henvender sig til Datatilsynet pr. e-mail og anmoder om
en opdatering i sagen. Klager oplyser samtidig, at hun nu mod-
tager nye e-mails fra GoMentor.
2. oktober 2018:
Datatilsynet besvarer klagers henvendelse og oplyser i den for-
bindelse, at tilsynet aktivt arbejder på sagen.
4. oktober 2018:
Datatilsynet afslutter sin egen bevissikring i sagen – det vil sige
den bevissikring der kunne foretages med hjælp fra klager.
3
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
9. oktober 2018:
Efter Datatilsynets egen bevissikring i sagen har tilsynet en klar
formodning om, at dele af it-sikkerheden i GoMentors system –
navnlig i forhold til hvordan links anvendes til at få adgang til
brugersiden – ikke lever op til kravet om at gennemføre pas-
sende sikkerhedsforan-staltninger. Datatilsynet kan imidlertid
ikke på lovlig vis selv efterprøve sin formodning, hvorfor tilsy-
net telefonisk tager kontakt til Rigspolitiet (NC3). Under tele-
fonsamtalen beder NC3 om, at tilsynet sender en e-mail med de
konkrete links og en forklaring af, hvilken bevissikring Datatil-
synet ønsker assistance til.
9. oktober 2018:
Datatilsynet sender efter aftale en e-mail, hvori tilsynet uddyber
sine ønsker til yderligere bevissikring, til Rigspolitiets Databe-
skyttelsesenhed, som samme dag videresender e-mailen til NC3.
23. oktober 2018:
Datatilsynet kontakter NC3 pr. e-mail for at følge op på, om
NC3 har haft mulighed for at vurdere, hvorvidt NC3 kan bistå
med yderligere bevissikring i sagen. Datatilsynet kontakter
samme dag NC3 telefonisk og får oplyst, at den ønskede bevis-
sikring kræver en retskendelse, hvilket forudsætter at der fore-
ligger en politianmeldelse.
23. oktober 2018:
Datatilsynet går i gang med at skrive en politianmeldelse, hvori
der redegøres for de tekniske omstændigheder i GoMentors sy-
stem, ligesom der udarbejdes en detaljeret beskrivelse af, hvor-
dan tilsynet ønsker politiets yderligere bistand til bevissikring.
26. oktober 2018:
Datatilsynet sender politianmeldelsen af GoMentor til Køben-
havns Politi med kopi til Rigspolitiets Databeskyttelsesenhed.
26. oktober 2018:
Rigspolitiets Databeskyttelsesenhed kontakter Datatilsynet tele-
fonisk og oplyser, at sagen er ”båret over til PD”. Rigspolitiet
oplyser desuden, at politiets kommunikations-folk har talt med
DR, som oplyser, at de ikke agter at bringe historien, før der er
bevissikret.
26. oktober 2018:
Datatilsynet bliver telefonisk kontaktet af Politiets Almene Ef-
terforskningsenhed, som oplyser, at man forventer at foretage
bevissikring i sagen hurtigst muligt – om muligt den 26. eller
27. oktober 2018.
5. november 2018:
Datatilsynet kontakter pr. e-mail og telefonisk Rigspolitiets Da-
tabeskyttelsesenhed for at spørge til status i forhold til bevissik-
4
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 227: MFU spm. om ministeren kan redegøre for den generelle praksis i Datatilsynet, når tilsynet bliver underrettet om, at virksomheder eller organisationer ikke opbevarer personfølsomdata korrekt, til justitsministeren
ringen.
7. november 2018:
Datatilsynet henvender sig pr. e-mail til Rigspolitiets Databe-
skyttelsesenhed og anmoder om en status i sagen. Rigspolitiet
oversender tilsynets henvendelse til Københavns Politi.
14. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og
anmoder om at få en status i forhold til bevissikringen. Køben-
havns Politi oplyser, at der fortsat arbejdes på sagen.
22. november 2018:
GoMentor anmoder – efter at sagen har været omtalt i 21 Søn-
dag – Datatilsynet om aktindsigt i tilsynets klagesag. Datatilsy-
net kontakter i den forbindelse Københavns Politi for at høre,
om der er noget der skal undtages fra aktindsigt af hensyn til po-
litiets efterforskning.
23. november 2018:
Datatilsynet afviser GoMentors anmodning om aktindsigt med
henvisning til forvaltningslovens § 11, stk. 1.
23. november 2018:
GoMentor anmelder sikkerhedsbruddet til Datatilsynet via blan-
ketten på virk.dk.
30. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og
anmoder om at få en status i forhold til bevissikringen. Køben-
havns Politi oplyser at der er foretaget bevissikring, og at poli-
tiet afventer at få tilsendt materialet fra Microsoft i USA.
3. december 2018:
Datatilsynet orienterer skriftligt GoMentor om status i sagen.
Tilsynet oplyser samtidig, at tilsynet vil vende tilbage til Go-
Mentor, så snart det bevissikrede materiale er modtaget fra po-
litiet.”
5