Datatilsynet kritiserer Vejen Kommune for at offentliggøre personnummer på kommunal hjemmeside

Vejen Kommune offentliggjorde ved en fejl en borgers personnummer på kommunens hjemmeside i forbindelse med et høringssvar. Borgeren klagede til Datatilsynet over denne hændelse.

Klagers bemærkninger

• Klager anførte, at hendes personnummer var tilgængeligt på Vejen Kommunes hjemmeside.

Vejen Kommunes bemærkninger

• Kommunen erkendte, at klagers personnummer uberettiget var blevet offentliggjort.
• Fejlen opstod i forbindelse med behandlingen af et høringssvar, hvor kommunen ikke var opmærksom på, at personnummeret fremgik af signaturbeviset.
• Kommunen anvender en CPR-tjekker, der scanner hjemmesiden for personnumre, men denne scanner først efter offentliggørelsen.
• Kommunen har indskærpet over for medarbejderne, at de skal være opmærksomme på følsomme personoplysninger i digital kommunikation, og nye medarbejdere skal gennemgå et e-learningsmodul om tavshedspligt og databeskyttelse.

Datatilsynet undersøgte sagen og forelagde den for Datarådet.

Afgørelse

Datatilsynet udtalte kritik af, at Vejen Kommunes behandling af personoplysninger ikke var i overensstemmelse med Databeskyttelsesforordningen artikel 32, stk. 1.

Begrundelse

• Datatilsynet fandt, at Vejen Kommune ikke havde implementeret passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau.
• Kommunen burde have haft en forudgående proces for at gennemgå materialet og slette eller anonymisere personoplysninger inden offentliggørelse.
• En supplerende manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret, ville normalt også være en passende sikkerhedsforanstaltning.
• Datatilsynet anerkendte, at den efterfølgende kontrol af hjemmesiden er en god sikkerhedsforanstaltning, men at en forudgående screening ville nedbringe risikoen betragteligt.