Alvorlig kritik og påbud til Justitsministeriet for ukrypteret mail med personoplysninger

Justitsministeriet sendte en e-mail til Advokatsamfundet indeholdende personoplysninger om 35 personer, herunder navn, personnummer og økonomiske oplysninger. Det kunne ikke dokumenteres, at e-mailen var sendt krypteret.

Justitsministeriets håndtering

• Justitsministeriet blev opmærksom på det potentielle brud på persondatasikkerheden via en henvendelse fra en advokat.
• Ministeriet iværksatte en intern undersøgelse, der ikke kunne afklare, om e-mailen var sendt krypteret.
• Statens It blev involveret, men kunne heller ikke afklare spørgsmålet grundet manglende logs.
• Justitsministeriet vurderede, at der ikke var indikationer på, at uvedkommende havde fået adgang til oplysningerne, og besluttede derfor ikke at underrette de registrerede.

Datatilsynets vurdering

• Datatilsynet fandt, at Justitsministeriet ikke havde truffet tilstrækkelige tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne, jf. databeskyttelsesforordningens artikel 32.
• Tilsynet kritiserede den lange sagsbehandlingstid fra underretning om det potentielle brud til anmeldelse til Datatilsynet.
• Datatilsynet tilsidesatte Justitsministeriets vurdering af, at der ikke var behov for at underrette de registrerede, idet tilsynet fandt, at risikovurderingen var mangelfuld.
• Datatilsynet påpegede, at manglende viden om realiserede konsekvenser ikke nødvendigvis betyder, at risikoen er lav, da skader kan opstå i fremtiden.
• Datatilsynet vurderede, at bruddet indebar en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Justitsministeriet for manglende overholdelse af databeskyttelsesforordningens regler om behandlingssikkerhed, anmeldelse af brud og underretning af registrerede.

Begrundelse

• Justitsministeriet havde ikke truffet passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, jf. Databeskyttelsesforordningen § 32 sammenholdt med Databeskyttelsesforordningen § 24.
• Anmeldelsen af bruddet til Datatilsynet var unødigt forsinket, jf. Databeskyttelsesforordningen § 33.
• Justitsministeriet havde ikke underrettet de registrerede om bruddet, hvilket Datatilsynet fandt nødvendigt, jf. Databeskyttelsesforordningen § 34.

Påbud

Datatilsynet meddelte Justitsministeriet et påbud om at underrette alle berørte registrerede om bruddet på persondatasikkerheden. Underretningen skulle opfylde kravene i databeskyttelsesforordningens artikel 34, stk. 2, og artikel 33, stk. 3, litra b, c og d.