Det har vist sig mere kompliceret end som så for Datatilsynet at træffe en afgørelse i sagen om Frederiksberg Boligfonds alvorlige datalæk i december 2018 af blandt andet cpr-numre og dødsattester. Selvom det om to uger, den 31. januar, er et år siden, at Frederiksberg Boligfond afleverede sin redegørelse i sagen til Datatilsynet, venter erhvervsfonden stadig – og med stigende utålmodighed – på en afgørelse.
Men inden for kort tid bliver spændingen udløst. Ifølge IT-sikkerhedsspecialist og cand.jur. i Datatilsynet Allan Frank vil den dataansvarlige i boligfonden ”meget, meget snart” modtage tilsynets afgørelse.
”Sagen er som sådan klar og har været det et stykke tid. Men den falder inden for et helt nyt retsområde, så for at skabe et ensartet niveau i den måde, vi sanktionerer de her forseelser på, har vi været nødt til også at kigge på nogle flere lignende sager. Vi har prøvet at finde et fælles niveau i fire-fem sager, hvoraf den med Frederiksberg Boligfond er én af dem, og derfor har det taget længere tid end vores normale færdiggørelse af sager, som ligger inden for cirka et halvt års tid,” siger Allan Frank til Fundats.
Han drager i den forbindelse en parallel til fodbolddommeres bestræbelser på at lægge en ensartet linje i måden, der dømmes og uddeles kort i fodboldkampe.
Det er et kapitel, der skal overstås, og det har godt nok været irriterende at skulle vente så længe på afgørelsen, også fordi sagen har været skreget ud i medier og fjernsyn. Det har bare ikke været rart.
Flemming Brank – bestyrelsesformand, Frederiksberg Boligfond
”Hvis man starter med at give én spiller et gult kort for en forseelse, og der så er én, som 10 minutter senere laver den samme forseelse; skal man så give endnu et gult kort med risiko for at skulle blive ved og ved? Det gælder om at lægge det rigtige niveau fra starten for at skabe ensartethed i forhold til de sanktioner, der skal vælges i de her sager. Det er vigtigt for os at skabe præcedens, så den samme forseelse så at sige giver den samme straf,” siger Allan Frank.
USB-stik fyldt med personfølsomme oplysninger
Datalækket er en af de første alvorlige GDPR-sager i fondssektoren, siden de nye databeskyttelsesregler trådte i kraft. Lækket skete den 21. december 2018, da Frederiksberg Boligfonds administrationsselskab PrivatBo runddelte 424 USB-stik til lejerne i tre ejendomme på Frederiksberg. Fonden var på det tidspunkt i gang med at sælge de tre ejendomme til den amerikanske ejendomsgigant og kapitalfond Blackstone, og USB-stikkene indeholdt materiale, som lejerne i ejendommene havde brug for, hvis de ville stifte en andelsboligforening.
Problemet var, at der på nogle af stikkene ud over de relevante dokumenter også lå filer indeholdende personfølsomme oplysninger såsom CPR-numre, kopier af sygesikringsbeviser, vielsesattester, dødsattester, kopier af bilregistreringsattester og lægeudtalelser om lejere – alt sammen oplysninger, som Frederiksberg Boligfond jævnfør den europæiske databeskyttelsesforordning GDPR ikke må udlevere til tredjepart uden de pågældendes accept.
Frederiksberg Boligfond anmeldte selv forholdet til Datatilsynet, og det samme gjorde både enkeltpersoner og Andelsboligforeningernes Fællesrepræsentation (ABF). Formanden for ABF Jan Hansen supplerede anmeldelsen med en pressemeddelelse, hvor han betegnede sagen som ”det værste tilfælde af overtrædelse af persondatalovgivningen, vi er stødt på.”
Godt en måned efter datalækket, den 31. januar 2019, afleverede Frederiksberg Boligfond så på baggrund af en undersøgelse foretaget i samarbejde med både et eksternt advokatfirma og fondens eksterne revisorer sin redegørelse til Datatilsynet. I den forbindelse understregede fondens bestyrelsesformand Flemming Brank i et interview med Fundats, at han mente, alle sten var blevet vendt.
Denne sag ligger i den højere ende, og når den gør det, så er det man skal overveje, om den skal politianmeldes eller den ikke skal politianmeldes.
Allan Frank – jurist, Datatilsynet
”Blandt andet er alt det udleverede materiale til beboerne – og her taler vi omkring 3.500 sider i alt, svarende til mere end én meter papir lagt oven på hinanden – blevet gennemgået for at sikre, at der ikke skjulte sig mere end det, vi selv i første omgang havde fundet frem til. Konklusionen er, at der i alt er cirka 40 tilfælde, der må betegnes som fejl, og som vi kan kritiseres for. Der er tale om dybt beklagelige menneskelige fejl på baggrund af menneskelige vurderinger,” lød det fra bestyrelsesformanden primo februar 2019.
Et kapitel, der skal overstås
Her et lille års tid senere sidder Flemming Brank, der ud over formandsposten i boligfonden er gruppeformand og kommunalbestyrelsesmedlem for De Konservative på Frederiksberg, og venter utålmodigt på Datatilsynets afgørelse. Han oplyser, at der, siden redegørelsen blev afleveret, har været dialog i to omgange mellem fonden og Datatilsynet, hvor fonden har skullet svare på en række uddybende spørgsmål. Og nu ønsker han frem for alt at få afsluttet den for fonden særdeles ubehagelige sag.
”Det er et kapitel, der skal overstås, og det har godt nok været irriterende at skulle vente så længe på afgørelsen, også fordi sagen har været skreget ud i medier og fjernsyn. Det har bare ikke været rart,” fastslår Flemming Brank.
Datatilsynets reaktionsmuligheder går fra at tage Frederiksberg Boligfonds redegørelse til efterretning over at give kritik til at foretage en politianmeldelse rettet mod den dataansvarlige. Frederiksberg Boligfond kan tilmed blive idømt en bøde i sagen, og det kan i princippet blive en bekostelig affære. Der er således hjemmel til at give bøder helt op til 20 millioner euro for de værste overtrædelser af persondataforordningen eller op til fire procent af den årlige omsætning.
I og med der er gået et år med sagsbehandlingen, er det ikke realistisk at tro, at fondens redegørelse vedrørende lækagen af personfølsomme oplysninger blot tages til efterretning. Men Allan Frank fra Datatilsynet vil ikke udtale sig om sagens sandsynlige udgang, før Frederiksberg Boligfond er blevet informeret.
Vi kan jo ikke rigtigt forvente noget i forhold til bødestørrelsen og har ikke afsat noget i budgettet, men når der i andre sager har været tale om bøder i millionstørrelsen, tror jeg slet ikke, at det er dér, vi er.
Flemming Brank – bestyrelsesformand, Frederiksberg Boligfond
”Jeg vil ikke præjudicere i telefonen – du og alle andre interesserede er nødt til at afvente, at sagen er blevet fremsendt til den pågældende dataansvarlige. Men jeg kan sige så meget, at sagen ligger i den højere ende – ellers var den også blevet afgjort. De sager, der ikke var så slemme, som vi først troede, ér blevet afgjort efterhånden. Så denne sag ligger i den højere ende, og når den gør det, så er det man skal overveje, om den skal politianmeldes eller den ikke skal politianmeldes,” siger Allan Frank.
Ikke sat penge af på budgettet til bøde
Flemming Brank, derimod, bruger udtryk som ”den lave ende” og ”småtingsafdelingen,” når han skal vurdere sagen og dens mulige konsekvenser.
”Vi mener selv, at det her er i den lave ende af skalaen, og sammenlignet med andre er denne sag nede i småtingsafdelingen. Selvfølgelig vil der komme en sanktion, idet vi har gjort noget, der er forkert, og der lægges også op til, at det skal koste noget i form af en økonomisk sanktion i én eller anden størrelsesorden, som jeg dog ikke tror bliver voldsom. Vi kan jo ikke rigtigt forvente noget i forhold til bødestørrelsen og har ikke afsat noget i budgettet, men når der i andre sager har været tale om bøder i millionstørrelsen, tror jeg slet ikke, at det er dér, vi er,” siger Flemming Brank.
– Forventer du en politianmeldelse fra Datatilsynet?
”Det har jeg ikke fantasi til at forestille mig. Mens der i andre sager har været tale om læk af tusindvis af cpr-numre, er det i denne sag forholdsvis få. Så min vurdering er, at politiet har vigtigere opgaver at tage sig til,” siger Flemming Brank.
Han understreger, at det rent formelt er Frederiksberg Boligfonds administrationsselskab PrivatBo, der på vegne af boligfonden har påtaget sig ansvaret i sagen.
”PrivatBo har fået opgaven overdraget fra Frederiksberg Boligfond, så det er PrivatBo, der som administrationsselskab må afholde den bøde, der måtte komme. Det har været behandlet på bestyrelsesniveau, og det er erkendt, at det ikke er noget, man kan lægge Frederiksberg Boligfond til last, selvom det er os, der er blevet skreget ud i medierne som banditterne,” siger Flemming Brank.
Bestyrelsesformanden forventer ikke, at der vil kunne ske en lignende fejl en anden gang. I kølvandet på sagen sker der nu i PrivatBo-regi ifølge formanden en ”meget skarp prioritering” af, hvad administrationsselskabet gemmer og hvordan det sker.
”Frederiksberg Boligfond har udtalt sin kritik af PrivatBo og bedt dem om at få rettet op. Og PrivatBo har lovet os, at en sådan fejl ikke kan ske igen,” fastslår Flemming Brank.
