Retsudvalget 2018-19 (1. samling)
REU Alm.del
Offentligt
1995933_0001.png
Folketinget
Retsudvalget
Christiansborg
1240 København K
DK Danmark
Dato:
Kontor:
Sagsbeh:
Sagsnr.:
Dok.:
2. januar 2019
Databeskyttelseskontoret
Emilie Liv Loiborg
2018-0030-1851
943119
Hermed sendes besvarelse af spørgsmål nr. 228 (Alm. del), som Folketin-
gets Retsudvalg har stillet til justitsministeren den 5. december 2018.
Spørgsmålet er stillet efter ønske fra ikkemedlem af udvalget (MFU) Karin
Gaardsted (S).
Søren Pape Poulsen
/
Anders Lotterup
Slotsholmsgade 10
1216 København K.
T +45 7226 8400
F +45 3393 3510
www.justitsministeriet.dk
[email protected]
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 228: MFU spm. om, hvilke oplysninger, der gjorde, at virksomheden GoMentor ikke blev orienteret om, at der pågik en undersøgelse af dem, til justitsministeren
Spørgsmål nr. 228 (Alm. del) fra Folketingets Retsudvalg:
”Vil ministeren oplyse - eventuelt i fortrolig form - hvilke op-
lysninger, der gjorde, at virksomheden GoMentor ikke blev ori-
enteret om, at der pågik en undersøgelse af dem, jf. artiklen "Da-
tatilsynet tav om datalæk fra terapiportal: "Det ville spolere
efterforskningen"" fra Version2 den 29. november 2018?”
Svar:
Justitsministeriet har indhentet en udtalelse fra Datatilsynet, der over for mi-
nisteriet har oplyst følgende:
”Datatilsynet har i tilsynets bidrag til besvarelse af spørgsmål
nr. 227 fra Folketingets Retsudvalg (Alm. del) redegjort for, at
Datatilsynet i nogle sager – hvor et konkret brud på persondata-
sikkerheden indebærer, at personoplysninger om borgere ikke
ligger frit tilgængelige – vælger at foretage bevissikring af brud-
det, inden tilsynet underretter den ansvarlige virksomhed eller
myndighed derom.
Sagen med GoMentor er et eksempel på en af de sager, hvor Da-
tatilsynet har valgt at foretage bevissikring af bruddet, inden
virksomheden blev underrettet om sagen. I den konkrete sag
blev GoMentor orienteret om sagen af DR, inden tilsynet selv
kunne foretage underretning, da bevissikringen ikke var tilende-
bragt på tidspunktet for DR’s henvendelse. Det bemærkes i den
forbindelse, at det konstaterede brud var af systemteknisk ka-
rakter, hvorfor bevissikringen typisk er mere kompliceret, end
hvis et brud f.eks. skyldes en menneskelig fejl af en ansat eller
lignende.
Når Datatilsynet har valgt, at der skal foretages bevissikring i
forhold til det konkrete brud hos GoMentor, så skyldes dette, at
det konstaterede brud på persondatasikkerheden – efter Datatil-
synets opfattelse – er så alvorligt, at der er behov for håndhæ-
velse af databeskyttelsesforordningens artikel 32 om behand-
lingssikkerhed. Ved denne vurdering af alvorligheden har Data-
tilsynet bl.a. lagt vægt på, at de personoplysninger, der har kun-
net tilgås af uvedkommende, er af følsom karakter, herunder
helbredsoplysninger, og at klager havde været i kontakt med
GoMentor om bruddet, men at dette ikke fik GoMentor til at løse
problemerne med behandlingssikkerheden.
Det er som nævnt i bidraget til besvarelsen af spørgsmål nr. 227
fra Folketingets Retsudvalg (Alm. del) Datatilsynets opfattelse,
at en løbende håndhævelse af overtrædelser af bl.a. databeskyt-
telsesforordningens artikel 32 om behandlingssikkerhed gene-
2
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 228: MFU spm. om, hvilke oplysninger, der gjorde, at virksomheden GoMentor ikke blev orienteret om, at der pågik en undersøgelse af dem, til justitsministeren
relt vil medvirke til en øget beskyttelse af de registrerede borge-
res personoplysninger, da virksomheder og myndigheder gør
mere ud af at passe ordentligt på borgernes personoplysninger,
hvis de oplever, at reglerne bliver håndhævet.
Til Retsudvalgets orientering har Datatilsynet nedenfor udarbej-
det en over-sigt over tilsynets foreløbige sagsbehandlingsskridt
i sagen med GoMentor.
24. august 2018:
Klager orienterer pr. e-mail Datatilsynet om, at hun har kunnet
tilgå andre personers personoplysninger, herunder deres korre-
spondance med mentorer, på www.gomentor.dk. Klager oplyser
samtidig, at hun gerne er Datatilsynet behjælpelig med yderli-
gere oplysninger, screenshots mv.
29. august 2018:
En journalmedarbejder gennemgår klagers e-mail og opretter
sagen i Datatilsynets sagsbehandlingssystem, hvorefter sagen
kan fordeles til en sagsbehandler.
11. september 2018:
Datatilsynet kontakter klager telefonisk og beder hende frem-
sende det yderligere materiale, hun har til rådighed.
14. september 2018:
Klagers brev med yderligere materiale modtages i Datatilsynet,
hvor det indscannes og akteres på sagen.
17. september 2018:
En IT-sikkerhedskonsulent i Datatilsynet gennemgår det mod-
tagne materiale.
20. september 2018:
Datatilsynet iværksætter egen bevissikring i sagen. Bevissikrin-
gen pågår i perioden fra den 20. september til den 4. oktober
2018.
28. september 2018:
Klager henvender sig til Datatilsynet pr. e-mail og anmoder om
en opdatering i sagen. Klager oplyser samtidig, at hun nu mod-
tager nye e-mails fra GoMentor.
2. oktober 2018:
Datatilsynet besvarer klagers henvendelse og oplyser i den for-
bindelse, at tilsynet aktivt arbejder på sagen.
4. oktober 2018:
Datatilsynet afslutter sin egen bevissikring i sagen – det vil sige
den bevissikring der kunne foretages med hjælp fra klager.
3
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 228: MFU spm. om, hvilke oplysninger, der gjorde, at virksomheden GoMentor ikke blev orienteret om, at der pågik en undersøgelse af dem, til justitsministeren
9. oktober 2018:
Efter Datatilsynets egen bevissikring i sagen har tilsynet en klar
formodning om, at dele af it-sikkerheden i GoMentors system –
navnlig i forhold til hvordan links anvendes til at få adgang til
brugersiden – ikke lever op til kravet om at gennemføre pas-
sende sikkerhedsforan-staltninger. Datatilsynet kan imidlertid
ikke på lovlig vis selv efterprøve sin formodning, hvorfor tilsy-
net telefonisk tager kontakt til Rigspolitiet (NC3). Under tele-
fonsamtalen beder NC3 om, at tilsynet sender en e-mail med de
konkrete links og en forklaring af, hvilken bevissikring Datatil-
synet ønsker assistance til.
9. oktober 2018:
Datatilsynet sender efter aftale en e-mail, hvori tilsynet uddyber
sine ønsker til yderligere bevissikring, til Rigspolitiets Databe-
skyttelsesenhed, som samme dag videresender e-mailen til NC3.
23. oktober 2018:
Datatilsynet kontakter NC3 pr. e-mail for at følge op på, om
NC3 har haft mulighed for at vurdere, hvorvidt NC3 kan bistå
med yderligere bevissikring i sagen. Datatilsynet kontakter
samme dag NC3 telefonisk og får oplyst, at den ønskede bevis-
sikring kræver en retskendelse, hvilket forudsætter at der fore-
ligger en politianmeldelse.
23. oktober 2018:
Datatilsynet går i gang med at skrive en politianmeldelse, hvori
der redegøres for de tekniske omstændigheder i GoMentors sy-
stem, ligesom der udarbejdes en detaljeret beskrivelse af, hvor-
dan tilsynet ønsker politiets yderligere bistand til bevissikring.
26. oktober 2018:
Datatilsynet sender politianmeldelsen af GoMentor til Køben-
havns Politi med kopi til Rigspolitiets Databeskyttelsesenhed.
26. oktober 2018:
Rigspolitiets Databeskyttelsesenhed kontakter Datatilsynet tele-
fonisk og oplyser, at sagen er ”båret over til PD”. Rigspolitiet
oplyser desuden, at politiets kommunikations-folk har talt med
DR, som oplyser, at de ikke agter at bringe historien, før der er
bevissikret.
26. oktober 2018:
Datatilsynet bliver telefonisk kontaktet af Politiets Almene Ef-
terforskningsenhed, som oplyser, at man forventer at foretage
bevissikring i sagen hurtigst muligt – om muligt den 26. eller
27. oktober 2018.
5. november 2018:
Datatilsynet kontakter pr. e-mail og telefonisk Rigspolitiets Da-
tabeskyttelsesenhed for at spørge til status i forhold til bevissik-
4
REU, Alm.del - 2018-19 (1. samling) - Endeligt svar på spørgsmål 228: MFU spm. om, hvilke oplysninger, der gjorde, at virksomheden GoMentor ikke blev orienteret om, at der pågik en undersøgelse af dem, til justitsministeren
ringen.
7. november 2018:
Datatilsynet henvender sig pr. e-mail til Rigspolitiets Databe-
skyttelsesenhed og anmoder om en status i sagen. Rigspolitiet
oversender tilsynets henvendelse til Københavns Politi.
14. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og
anmoder om at få en status i forhold til bevissikringen. Køben-
havns Politi oplyser, at der fortsat arbejdes på sagen.
22. november 2018:
GoMentor anmoder – efter at sagen har været omtalt i 21 Søn-
dag – Datatilsynet om aktindsigt i tilsynets klagesag. Datatilsy-
net kontakter i den forbindelse Københavns Politi for at høre,
om der er noget der skal undtages fra aktindsigt af hensyn til po-
litiets efterforskning.
23. november 2018:
Datatilsynet afviser GoMentors anmodning om aktindsigt med
henvisning til forvaltningslovens § 11, stk. 1.
23. november 2018:
GoMentor anmelder sikkerhedsbruddet til Datatilsynet via blan-
ketten på virk.dk.
30. november 2018:
Datatilsynet tager telefonisk kontakt til Københavns Politi og
anmoder om at få en status i forhold til bevissikringen. Køben-
havns Politi oplyser at der er foretaget bevissikring, og at poli-
tiet afventer at få tilsendt materialet fra Microsoft i USA.
3. december 2018:
Datatilsynet orienterer skriftligt GoMentor om status i sagen.
Tilsynet oplyser samtidig, at tilsynet vil vende tilbage til Go-
Mentor, så snart det bevissikrede materiale er modtaget fra po-
litiet.”
5