Gladsaxe Kommune har i årevise haft problemer med offentliggørelse af folks CPR-numre på kommunens hjemmeside.
Det er sket i flere forskellige sammenhænge oftest på kommunens åbne postlister, som Gladsaxe Kommune bryster sig med at være et udtryk for kommunens udstrakte åbenhed.
Gladsaxe Kommunes problemer med offentliggørelse af CPR-numre har i flere omgange været genstand for Datatilsynets behandling. Umiddelbart finder man Gladsaxe Kommunes problemer omtalt i Datatilsynets årsrapporter fra 2005, 2006 og 2007.
Fælles for disse er, at Gladsaxe Kommune hver gang lover bod og bedring. I 2006
beskrev Gladsaxe Kommune de tiltag man vill iværksætte for at undgå gentagelser.
“Det fremgik endvidere, at kommunen netop havde udformet 9 nye reviderede sikkerhedsregler for omgang med personfølsomme oplysninger. De nye regler blev den 11. januar 2006 gjort tilgængelige for alle administrative medarbejdere via kommunens intranet. Derudover ville de medarbejdere, som i særlig høj grad arbejdede med personfølsomme oplysninger, modtage retningslinjerne direkte i form af en huskeliste til opslagstavlen. Gladsaxe Kommune mente ikke, at der var grund til at iværksætte yderligere tiltag i forbindelse med hændelsen. Gladsaxe Kommune oplyste yderligere, at kommunen gør en stor indsats for at leve op til offentlighedslovens bestemmelser om åbenhed i forvaltningen, men med åbenheden følger efter kommunens vurdering risikoen for, at der undertiden sker menneskelige fejl.” – Datatilsynets årsrapport 2005
Datatilsynet udtalte i 2006 alvorlig kritik af Gladsaxe Kommunes håndtering af CPR-numre. Ikke mindst fordi Gladsaxe Kommune også 2005 havde udvist skødeløshed ved at offentliggøre CPR-numre på kommunens hjemmeside.
“I det konkrete tilfælde, hvor fortrolige personoplysninger blev offentliggjort, fandt Datatilsynet, at Gladsaxe Kommune ikke havde udvist den fornødne omhu, og kommunen havde dermed ikke overholdt kravene i persondatalovens § 41, stk. 3, hvilket efter tilsynets opfattelse var kritisabelt.
Datatilsynet lagde ved vurderingen heraf vægt på, at Gladsaxe Kommune i april 2005 på baggrund af en tilsvarende fejl havde offentliggjort fortrolige og følsomme oplysninger på hjemmesiden, hvilket Datatilsynet i en udtalelse af 10. maj 2005 fandt meget beklageligt. Datatilsynet noterede sig i den forbindelse bl.a., at Gladsaxe Kommune oplyste, at kommunen fremover ville arbejde for at undgå lignende fejl.” – Datatilsynets årsrapport 2006
I 2007 var den så gal igen, og Datatilsynet valgte i årsrapporten at omtale 4 sager om læk af CPR-numre. Gladsaxe Kommune optrådte som nummer 1 på listen, og Datatilsynet udtalte atter alvorlig kritik af Gladsaxe Kommunes uforsvarlige håndtering af CPR-numre.
“Datatilsynet udtalte bl.a., at Gladsaxe Kommune ikke havde udvist den fornødne omhu, og at kommunen dermed ikke havde overholdt kravene i persondatalovens § 41, stk. 3. Henset til, at Gladsaxe Kommune nu flere gange inden for et kortere tidsrum utilsigtet havde offentliggjort fortrolige personoplysninger på kommunens hjemmeside, fandt Datatilsynet det passerede meget kritisabelt. Datatilsynet fandt endvidere grundlag for at orientere byrådet i Gladsaxe Kommune” – Datatilsynets årsrapport 2007
Nu i 2017 offentliggør Gladsaxe Kommune ikke mindre end 21 borgeres CPR-numre. Denne gang sker det på en måde, som afslører, hvordan borgeres CPR-numre flyder frit mellem medarbejdere i kommunen, der i deres arbejde absolut intet behov har for at kende en borgers CPR-nummer.
Her er der med andre ord ikke tale om tankeløshed, men derimod om fejlagtig indretning af Gladsaxe Kommunes interne EDB-systemer.
Læs også Datatilsynets vejledning om forholdsregler i forbindelse med sikkerhedsbrister.
Fakta for ændringer af persondataloven, der træder i kraft i 2018 (fra advokatfirmaet plesner.com):
Offentlige myndigheder får særlig dataansvarlig
Et at mest centrale tiltag i forordningen er et krav om, at alle offentlige myndigheder – og visse virksomheder – skal ansætte en særlig dataansvarlig person – en såkaldt Data Protection Officer (DPO).
Myndighederne skal fremover have en person, som får en særlig ansættelsesretlig beskyttelse og får en række centrale opgaver med bl.a. at kontrollere om reglerne bliver overholdt. Det er en opgave, de offentlige myndigheder arbejder målrettet for at få styr på i øjeblikket.
De vigtigste nyskabelser i persondataforordningen:
- Risikobaseret krav om, at virksomheden/myndigheden skal kunne dokumentere, at man overholder reglerne (accountability)
- Skærpet krav til dokumentation for samtykke
- Styrkelse af den registreredes rettigheder
- Risikobaseret krav om privacy by design og privacy by default
- Pligt til at orientere Datatilsynet og i nogen tilfælde også de registrerede i tilfælde af datasikkerhedsbrister (hackerangreb mv.)
- Udbydere af sociale medier og andre informationssamfundstjenester skal have forældresamtykke for at kunne behandle oplysninger om børn under 16 år. Medlemsstaterne kan vælge at sænke denne alder til 13 år
- Data Protection Officer i offentlige myndigheder og visse private virksomheder
- En ny “One-stop-shop” for koncerner, der er etablerede i flere EU lande, så de har nemmere ved at vide, hvilket datatilsyn der er kompetent til at håndhæve reglerne. Men også en lang række kompetencer til at fastsætte nationale særregler
- Right-to-be-forgotten (retten til at blive glemt)
- Bøder på op til 4 % af global årlig omsætning.