Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript

1 Datum Dnr Stadsdelsnämnden Södra Innerstaden, Malmö stad Box Malmö samt via e-post och fax Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Publicering för läsning på webbplatsen Soc-tanter på nätet Datainspektionen förutsätter att Stadsdelsnämnden Södra Innerstaden (stadsdelsnämnden) fortlöpande säkerställer att personuppgifter inte lämnas ut vid publicering för läsning på webbplatsen Soc-tanter på nätet. Kommunikationssäkerhet Datainspektionen förelägger stadsdelsnämnden att genomföra följande åtgärder gällande kommunikationssäkerhet när personuppgifter hämtas in och lämnas ut inom ramen för webbtjänsten Soc-tanter på nätet. 1. Stadsdelsnämnden ska vidta åtgärder för att insynsskydda känsliga personuppgifter eller uppgifter om ömtåliga personliga förhållanden med kryptering vid överföring i öppna nät. 2. Stadsdelsnämnden ska genomföra krypteringsåtgärder som innebär att endast den avsedda mottagaren kan ta del av känsliga personuppgifter eller uppgifter om ömtåliga personliga förhållanden när nämnden svarar med e-post som överförs i öppna nät. Övrigt Datainspektionen förutsätter att stadsdelsnämnden också beaktar inspektionens nedanstående påpekanden om information, åtkomstkontroll och avtal med personuppgiftsbiträde. Postadress: Box 8114, STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: Webbplats: Telefax:

2 2 (5) Stadsdelsnämnden ska senast den 1 oktober 2008 till Datainspektionen redovisa planerade och vidtagna åtgärder till följd av inspektionens beslut. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet I webbtjänsten Soc-tanter på nätet kan allmänheten få svar på frågor om bl.a. familjerelationer, alkohol och droger från två socialsekreterare. Både frågor (inlägg) och svar presenteras i webbtjänsten. Stadsdelsnämnden lämnar inte ut svaret i webbtjänsten om frågeställaren vill ha svar via e-post. Datainspektionen uppmärksammades på webbtjänsten och inledde tillsyn. Av bilagan framgår stadsdelsnämndens redogörelse. Datainspektionen har ställt kompletterande frågor om granskningen av inläggen. Stadsdelsnämnden uppger att följande rutiner tillämpas. Det sker inte någon direkt publicering av inläggen. Socialsekreterarna läser det inkomna inlägget i syfte att följa personuppgiftslagen och att iaktta sekretess för uppgifter om den enskildes personliga förhållanden. Inlägget avidentifieras genom att de ändrar namn och andra uppgifter om t.ex. boende, stadsdel, behandlingshems namn, släktskap. Allt som publiceras är avidentifierat. Skäl för beslutet Utgångspunkter för bedömningen Lagen om behandling av personuppgifter inom socialtjänsten ger ett rättsligt stöd för en kommunal myndighet att behandla personuppgifter om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras (6 första stycket). En enskild person har inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt den lagen (6 tredje stycket). I fråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (8 ). Personuppgiftslagen innehåller bl.a. definitioner samt krav på information till de registrerade och säkerhetsåtgärder. Personuppgifter är all slags information som direkt eller indirekt kan hänförs till en fysisk person som är livet (3 personuppgiftslagen). En persons namn kan framgå direkt av en e-postadress. En e-postadress kan också utgöras av ett alias som är sammankopplat med namnuppgifter hos en operatör eller annan som tillhandahåller e-postadresser, vilket innebär att det är möjligt att indirekt hänföra uppgiften till en person. Samma förhållande gäller för IP-adresser.

3 3 (5) Personuppgifter som rör hälsa är känsliga (13 personuppgiftslagen). Inom socialtjänsten används begreppet uppgifter om ömtåliga personliga förhållanden för att beteckna uppgifter om familjeförhållanden och ekonomiska förhållanden. Inom socialtjänsten finns sekretess enligt 7 kap. 4-6 sekretesslagen. De registrerade ska som huvudregel informeras om personuppgiftsbehandlingen. Informationen ska innehålla de upplysningar som framgår av 25 personuppgiftslagen. Informationen ska omfatta upplysningar om den personuppgiftsansvariges identitet, ändamålen med behandlingen av personuppgifter samt om rätten att få uppgifter rättade och att ansöka om information (registerutdrag). Säkerhetsåtgärder ska vidtas av den personuppgiftsansvarige för att skydda personuppgifterna (31 personuppgiftslagen). Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är. Vid bedömning av hur pass känsliga uppgifterna är ska särskilt beaktas om personuppgifterna omfattas av tystnadsplikt eller sekretess enligt sekretesslagen (1980:100) eller annan lagstiftning. När känsliga personuppgifter behandlas är utgångspunkten att det ska finnas en behandlingshistorik (logg) som utvisar användaridentitet, tidpunkt och vilka personuppgifter användaren har haft åtkomst till eller bearbetat. En förutsättning är också att varje användare kan identifieras i loggen genom sin egen inloggningsuppgift. Det ska vara möjligt att följa upp loggarna för att utreda felaktigt eller obehörig användning av personuppgifter. Vid överföring i öppna nät ska känsliga personuppgifter vara krypterade. När e-post med känsliga personuppgifter sänds i ett öppet nät, ska informationen krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av personuppgifterna. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde för att behandla personuppgifter för den personuppgiftsansvariges räkning, innehåller personuppgiftslagen vissa krav på den personuppgiftsansvarige, bl.a. att skriva avtal med personuppgiftsbiträdet och att ge instruktioner till biträdet (30 och 31 personuppgiftslagen). Datainspektionens bedömning Rättsligt stöd för behandling av personuppgifter När stadsdelsnämnden tillhandahåller webbtjänsten för att i sin verksamhet samla in och bearbeta inlägg och svar, behandlar nämnden personuppgifter om frågeställarna i form av namn, e-postadresser och IP-adresser. Om en frågeställare beskriver anhöriga, kan det beroende på hur ingående och detaljerad informationen är, också innebära att det är fråga om personuppgifter som kan hänföras till andra personer än frågeställaren.

4 4 (5) Stadsdelsnämnden uppger att webbtjänsten är ett led i en lagstadgad uppsökande verksamhet samt att man tillämpar lagen och förordningen om behandling av personuppgifter inom socialtjänsten respektive personuppgiftslagen. Med dessa utgångspunkter har stadsdelsnämnden ett rättsligt stöd för sin interna behandling av personuppgifter. Enligt stadsdelsnämnden är det inte nämndens avsikt att lämna ut personuppgifter på Internet när ett inlägg publiceras för läsning på webbplatsen Soc-tanter på nätet. Ett sådant utlämnande skulle enligt Datainspektionens uppfattning vara i strid med 8 lagen om behandling av personuppgifter inom socialtjänsten. Av helt avgörande betydelse är således att stadsdelsnämnden fortlöpande säkerställer att personuppgifter inte lämnas ut. Stadsdelsnämnden bör vara särskilt uppmärksam vid granskning av inlägg som innehåller uppgifter om andra än frågeställaren, så att inte heller dessa uppgifter kan hänföras till enskilda personer. Datainspektionen, som har läst det publicerade inlägget Barn till psykiskt sjuk, vill också peka på riskerna med s.k. bakvägsidentifiering. Inlägget innehåller uppgifter om diagnos, sjukdomshistoria och specifika händelser i pappans liv. Även om personnamn eller andra direkt utpekande uppgifter inte förekommer, kan en sådan detaljerad beskrivning göra det möjligt att indirekt hänföra uppgifterna till en enskild person. Vid granskningen av inläggen bör således stadsdelsnämnden särskilt uppmärksamma riskerna för bakvägsidentifiering. Kommunikationssäkerhet Stadsdelsnämnden tillhandahåller webbtjänsten Soc-tanter på nätet för att inhämta mycket integritetskänsliga personuppgifter från allmänheten. I anslutning till webbtjänsten erbjuder sig stadsdelsnämnden att svara via e-post. Datainspektionen anser därför att stadsdelsnämnden har ett ansvar för kommunikationssäkerheten i anslutning till webbtjänsten och när svaren lämnas via e-post. Via webbtjänsten inhämtar stadsdelsnämnden känsliga personuppgifter och uppgifter om ömtåliga personliga förhållanden, som överförs utan kryptering. Från e-postsystemet skickar stadsdelsnämnden svar som förutom e-postadressen, kan innehålla känsliga personuppgifter och uppgifter om ömtåliga personliga förhållanden. Stadsdelsnämnden har inte säkerställt att endast avsedda mottagare kan ta del av dessa svar. En oskyddad överföring innebär en avsevärd integritetsrisk. Det är en integritetskränkning om personuppgifterna hamnar i fel händer. Det finns således allvarliga brister i fråga om kommunikationssäkerheten som strider mot 31 personuppgiftslagen. Datainspektionen förelägger därför stadsdelsnämnden att åtgärda bristerna genom att insynsskydda överföringen med kryptering och genom att kryptera e-postsvaren på ett sådant sätt att endast den avsedda mottagaren kan ta del av personuppgifterna.

5 5 (5) Övrigt Den information som lämnas i anslutning till inhämtandet av personuppgifter i webbtjänsten behöver kompletteras med upplysningar enligt 25 personuppgiftslagen. Datainspektionen utgår från att rutinerna för behörighetstilldelning och åtkomstkontroll är sådana att stadsdelsnämnden i efterhand kan utläsa vilken person (socialsekreterare eller annan behörig person) som har haft åtkomst till personuppgifterna, tidpunkt för åtkomst och vidtagna åtgärder med personuppgifterna. Stadsdelsnämnden anlitar ett företag som erbjuder en helhetslösning för innehållshantering för diskussionsforum på webben. Om företaget såsom personuppgiftsbiträde behandlar personuppgifter för stadsdelsnämndens räkning, har nämnden vissa skyldigheter, bl.a. att skriva avtal med företaget såsom personuppgiftsbiträde och att ge företaget instruktioner för personuppgiftsbehandlingen (30-31 personuppgiftslagen). Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag beslutet meddelades, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, datarådet Katja Isberg Amnäs, IT-säkerhetsspecialisten Magnus Bergström och avdelningsdirektören Suzanne Carlsson Isberg, föredragande. Göran Gräslund Suzanne Carlsson Isberg Kopia till Personuppgiftsombudet för stadsdelsnämnden, Stadskontoret, Juridiska avdelningen, August Palms plats 1, Malmö Socialstyrelsen, Regionala tillsynsenheten, Box 4106, Malmö Länsstyrelsen i Skåne, Malmö