Silkeborg Kommune modtager alvorlig kritik for usikker transmission af følsomme oplysninger i ukrypteret e-mail

Silkeborg Kommune anmeldte et brud på persondatasikkerheden, efter at have sendt en e-mail til Danmarks Statistik Consulting. E-mailen indeholdt cpr-numre, skolenavne og skolekoder for 12.915 skoleelever og var ikke krypteret under transmissionen.

Kommunens forklaring

• Kommunen anførte, at der var tale om en menneskelig fejl, da en medarbejder ved en fejl sendte e-mailen usikkert, selvom vedkommende var bekendt med retningslinjerne for sikker e-mailforsendelse.
• Kommunen oplyste, at TLS 1.1 kryptering var implementeret på tidspunktet, men at de ville opgradere til TLS 1.2.
• Kommunen kontaktede modtageren for at sikre, at e-mailen var kommet frem til rette vedkommende, og iværksatte yderligere uddannelse af medarbejderne.

Datatilsynets vurdering

• Datatilsynet konstaterede, at kommunen ikke kunne dokumentere, at e-mailen var krypteret, hverken på transportlaget eller af indholdet.
• Datatilsynet vurderede, at kryptering på transportlaget med en stærk algoritme normalt bør være et minimumsniveau for sikkerhed ved fremsendelse af fortrolige og/eller følsomme personoplysninger via e-mail.
• Datatilsynet bemærkede, at TLS 1.1 ikke ansås for tilstrækkelig sikkerhed på grund af kendte sikkerhedssvagheder.
• Datatilsynet fremhævede, at kommuner, der behandler store mængder af fortrolige og/eller følsomme personoplysninger, skal sikre sig, at indholdet af forsendelserne krypteres, især når det vedrører børn.

Afgørelse

Datatilsynet udtalte alvorlig kritik af Silkeborg Kommunes behandling af personoplysninger, da den ikke var i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1 og Databeskyttelsesforordningen § 5, stk. 2, jf. Databeskyttelsesforordningen § 5, stk. 1, litra f.

Begrundelse

• Kommunen havde ikke sikret tilstrækkelig kryptering af indholdet i e-mailen, der indeholdt følsomme personoplysninger om et stort antal børn.
• Kommunen kunne ikke redegøre for, om e-mailen overhovedet var krypteret, og brugen af TLS version 1.1 til kryptering på transportlaget blev ikke anset for at være tilstrækkelig sikker.
• Datatilsynet indskærpede vigtigheden af, at den dataansvarliges dokumentation afspejler de risici, behandlingen har for de registreredes rettigheder, og at der er dokumentation for, at den valgte sikkerhed rent faktisk er iagttaget.