Odense Kommune kritiseres for mangelfuld sikkerhed ved digital ansøgningsløsning og pålægges at undersøge videregivelse af beskyttede adresser

Odense Kommune anmeldte i maj 2020 et brud på persondatasikkerheden, der opstod i et system til digital ansøgning om personligt tillæg eller enkeltydelse. Systemet, der blev sat i drift i maj 2019, tillod andre end ansøgeren at udfylde ansøgningen, eksempelvis en sundhedsfaglig person på vegne af en patient. Når en sådan ansøgning blev gennemført med et personligt NemID, blev den udfyldendes navn, adresse og personnummer sendt som kvittering til borgeren via Digital Post.

Kommunen oplyste, at man ved udviklingen af løsningen ikke var opmærksom på, at oplysninger om den, der ansøgte på vegne af borgeren, ville blive synlige for ansøgeren. Selvom der var gennemført tests, var der ikke anvendt et testmiljø, og dokumentationen for disse tests var slettet. Efterfølgende er der iværksat nye foranstaltninger, så kvitteringer nu kun indeholder borgerens personnummer og navnet på den person, der gennemfører ansøgningen. Kommunen havde dog ikke besluttet, om de berørte personer skulle underrettes om bruddet, da de ikke umiddelbart vurderede, at bruddet indebar en høj risiko for de registreredes rettigheder. Kommunen havde heller ikke kontaktet de borgere, der havde modtaget en kvittering med en andens personoplysninger, for at få disse slettet, da de vurderede, at borgerne ikke havde bemærket fejlen og ville have vanskeligheder med at gennemføre en sletning.

Afgørelse

Datatilsynet udtalte kritik af, at Odense Kommunes behandling af personoplysninger ikke var i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, der omhandler passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen ved behandlingen.

Datatilsynet meddelte desuden Odense Kommune et påbud om at:

• Undersøge, om der uretmæssigt er videregivet oplysninger om registreredes beskyttede adresser.
• I bekræftende fald underrette de berørte registrerede, jf. databeskyttelsesforordningens artikel 34, stk. 1 og 2.
• Tage kontakt til modtagerne af de pågældende oplysninger med opfordring om, at oplysningerne slettes.

Påbuddet er meddelt i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d og e. Manglende efterlevelse af påbuddet kan medføre straf, jf. Databeskyttelsesloven § 41, stk. 2, nr. 5.

Datatilsynet begrundede kritikken med, at kommunen ikke havde truffet passende foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau, da de ikke var opmærksomme på behandlingen i kvitteringerne og ikke testede tilstrækkeligt. Implementeringen af en funktionalitet, hvor personlige NemID kunne anvendes, burde have givet anledning til test, der kunne have identificeret fejlen.

Datatilsynet bemærkede, at forløbet bar præg af manglende fokus på behandlingen af personoplysninger og de risici, dette indebar, og henstillede til kommunen at gennemgå sine procedurer for udvikling og test af it-løsninger. Tilsynet bemærkede også, at der gik for lang tid, før kommunen besluttede, om de registrerede skulle underrettes om bruddet.