Kritik og påbud til Kristelig Fagforening for mangelfuld behandlingssikkerhed

Datatilsynet gennemførte i 2019 et tilsyn hos Kristelig Fagforening (Krifa) for at vurdere deres behandlingssikkerhed, særligt med fokus på kryptering af e-mails. Tilsynet blev iværksat efter en anmodning om dokumentation og et efterfølgende tilsynsbesøg.

Krifa anvender forskellige metoder til at sikre fortroligheden af personoplysninger, herunder certifikatbaseret end-to-end kryptering og en løsning kaldet Sikker@Mail. Ved brug af Sikker@Mail sendes e-mails krypteret til en databehandlers server, hvorefter modtageren modtager en adviseringsmail med et link til at læse e-mailen efter indtastning af et password. Krifa anvender også Krifa Boks, et sikkert webbaseret system til udveksling af dokumenter med medlemmer.

Datatilsynet undersøgte Krifas krypteringsløsninger, herunder fremsendelse af adviseringsmails og brugen af personnummer som password. Datatilsynet vurderede også tilfælde, hvor kryptering ikke var blevet anvendt korrekt, samt Krifas risikovurdering vedrørende fremsendelse af personoplysninger over internettet.

Datatilsynet konstaterede, at Krifa i visse tilfælde ikke havde overholdt kravene til behandlingssikkerhed, særligt ved brugen af personnummer som password og ved manglende anmeldelse af brud på persondatasikkerheden.

Datatilsynet udtalte kritik af, at Kristelig Fagforening (Krifa) ikke fuldt ud har efterlevet kravene i databeskyttelsesforordningens artikel 32. Kritikken omfatter primært to forhold:

• Krifa har overtrådt databeskyttelsesforordningens artikel 32 ved at anvende personnummeret på den person, som e-mailen vedrører, som password til læsning af e-mails på virksomhedens sikre webtjeneste.
• Krifa har overtrådt databeskyttelsesforordningens artikel 32 og 33 ved i en periode at have sendt e-mails ukrypteret, hvoraf oplysninger om fagforeningsmæssigt tilhørsforhold kunne udledes, uden at anmelde dette som et brud på persondatasikkerheden.

Datatilsynet har meddelt Krifa et påbud om at ophøre med at benytte personnummeret som password. Overtrædelse af påbuddet kan medføre bøde eller fængsel i op til 6 måneder, jf. Databeskyttelsesloven § 41.