Afgørelse på trapperne i sag om alvorligt datalæk fra erhvervsfond

Der er gået et år, siden Frederiks­berg Bolig­fond afleve­rede sin rede­gørelse til Data­tilsynet om GDPR-sagen, hvor der blev rundsendt en række person­føl­som­me oplysninger. Afgø­rel­sen kommer ”meget, meget snart,” og jurist i Data­tilsynet Allan Frank betegner sagen som værende i den ”højere ende.”

Den Sønderjyske By (foto: Frederiksberg Boligfond)
Den 21. de­cem­ber 2018 rund­del­te Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo 424 USB-stik med per­son­føl­som­me op­lys­nin­ger til le­jer­ne i tre ejen­dom­me på Fre­de­riks­berg. In­den læn­ge for­ven­ter Da­ta­til­sy­net at træf­fe af­gø­rel­se om sank­tio­ner­ne over­for de an­svar­li­ge. På bil­le­det ses Den Søn­derjy­ske By (fo­to: Fre­de­riks­berg Bo­lig­fond).

Det har vist sig me­re kom­pli­ce­ret end som så for Da­ta­til­sy­net at træf­fe en af­gø­rel­se i sa­gen om Fre­de­riks­berg Bo­lig­fonds al­vor­li­ge da­ta­læk i de­cem­ber 2018 af blandt an­det cpr-num­re og død­sat­te­ster. Selv­om det om to uger, den 31. ja­nu­ar, er et år si­den, at Fre­de­riks­berg Bo­lig­fond af­le­ve­re­de sin re­de­gø­rel­se i sa­gen til Da­ta­til­sy­net, ven­ter er­hvervs­fon­den sta­dig – og med sti­gen­de utå­l­mo­dig­hed – på en af­gø­rel­se.

Men in­den for kort tid bli­ver spæn­din­gen ud­løst. Iføl­ge IT-sik­ker­heds­spe­ci­a­list og cand.jur. i Da­ta­til­sy­net Al­lan Frank vil den da­ta­ansvar­li­ge i bo­lig­fon­den ”me­get, me­get snart” mod­ta­ge til­sy­nets af­gø­rel­se.

”Sa­gen er som så­dan klar og har væ­ret det et styk­ke tid. Men den fal­der in­den for et helt nyt rets­om­rå­de, så for at ska­be et ens­ar­tet ni­veau i den må­de, vi sank­tio­ne­rer de her for­se­el­ser på, har vi væ­ret nødt til og­så at kig­ge på nog­le fle­re lig­nen­de sa­ger. Vi har prø­vet at fin­de et fæl­les ni­veau i fi­re-fem sa­ger, hvoraf den med Fre­de­riks­berg Bo­lig­fond er én af dem, og der­for har det ta­get læn­ge­re tid end vo­res nor­ma­le fær­dig­gø­rel­se af sa­ger, som lig­ger in­den for cir­ka et halvt års tid,” si­ger Al­lan Frank til Fun­dats.

Han dra­ger i den for­bin­del­se en pa­ral­lel til fod­bold­dom­me­res be­stræ­bel­ser på at læg­ge en ens­ar­tet linje i må­den, der døm­mes og ud­de­les kort i fod­bold­kam­pe.

Det er et ka­pi­tel, der skal over­stås, og det har godt nok væ­ret ir­ri­te­ren­de at skul­le ven­te så læn­ge på af­gø­rel­sen, og­så for­di sa­gen har væ­ret skre­get ud i me­di­er og fjern­syn. Det har ba­re ik­ke væ­ret rart.

Flem­m­ing Brank – be­sty­rel­ses­for­mand, Fre­de­riks­berg Bo­lig­fond

”Hvis man star­ter med at gi­ve én spil­ler et gult kort for en for­se­el­se, og der så er én, som 10 mi­nut­ter se­ne­re la­ver den sam­me for­se­el­se; skal man så gi­ve end­nu et gult kort med ri­si­ko for at skul­le bli­ve ved og ved? Det gæl­der om at læg­ge det rig­ti­ge ni­veau fra star­ten for at ska­be ens­ar­tet­hed i for­hold til de sank­tio­ner, der skal væl­ges i de her sa­ger. Det er vig­tigt for os at ska­be præ­ce­dens, så den sam­me for­se­el­se så at si­ge gi­ver den sam­me straf,” si­ger Al­lan Frank.

USB-stik fyldt med personfølsomme oplysninger

Da­ta­læk­ket er en af de før­ste al­vor­li­ge GD­PR-sa­ger i fonds­sek­to­ren, si­den de nye da­ta­be­skyt­tel­ses­reg­ler trå­d­te i kraft. Læk­ket ske­te den 21. de­cem­ber 2018, da Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo rund­del­te 424 USB-stik til le­jer­ne i tre ejen­dom­me på Fre­de­riks­berg. Fon­den var på det tids­punkt i gang med at sæl­ge de tre ejen­dom­me til den ame­ri­kan­ske ejen­doms­gi­gant og ka­pi­tal­fond Bla­ck­sto­ne, og USB-stik­ke­ne in­de­holdt ma­te­ri­a­le, som le­jer­ne i ejen­dom­me­ne hav­de brug for, hvis de vil­le stif­te en an­dels­bo­lig­for­e­ning.

Pro­ble­met var, at der på nog­le af stik­ke­ne ud over de re­le­van­te do­ku­men­ter og­så lå fi­ler in­de­hol­den­de per­son­føl­som­me op­lys­nin­ger så­som CPR-num­re, ko­pi­er af sy­ge­sik­rings­be­vi­ser, vi­el­se­s­at­te­ster, død­sat­te­ster, ko­pi­er af bil­re­gi­stre­ring­s­at­te­ster og læ­geud­ta­lel­ser om le­je­re – alt sam­men op­lys­nin­ger, som Fre­de­riks­berg Bo­lig­fond jævn­før den eu­ro­pæ­i­ske da­ta­be­skyt­tel­ses­for­ord­ning GDPR ik­ke må ud­le­ve­re til tred­je­part uden de på­gæl­den­des ac­cept.

Fre­de­riks­berg Bo­lig­fond an­meld­te selv for­hol­det til Da­ta­til­sy­net, og det sam­me gjor­de bå­de en­kelt­per­so­ner og An­dels­bo­lig­for­e­nin­ger­nes Fæl­les­re­præ­sen­ta­tion (ABF). For­man­den for ABF Jan Han­sen sup­ple­re­de an­mel­del­sen med en pres­se­med­del­el­se, hvor han be­teg­ne­de sa­gen som ”det vær­ste til­fæl­de af over­træ­del­se af per­son­da­ta­lov­giv­nin­gen, vi er stødt på.”

Godt en må­ned ef­ter da­ta­læk­ket, den 31. ja­nu­ar 2019, af­le­ve­re­de Fre­de­riks­berg Bo­lig­fond så på bag­grund af en un­der­sø­gel­se fo­re­ta­get i sam­ar­bej­de med bå­de et ek­ster­nt ad­vo­kat­fir­ma og fon­dens ek­ster­ne re­viso­rer sin re­de­gø­rel­se til Da­ta­til­sy­net. I den for­bin­del­se un­der­stre­ge­de fon­dens be­sty­rel­ses­for­mand Flem­m­ing Brank i et in­ter­view med Fun­dats, at han men­te, al­le sten var ble­vet vendt.

Den­ne sag lig­ger i den hø­je­re en­de, og når den gør det, så er det man skal over­ve­je, om den skal po­li­ti­an­mel­des el­ler den ik­ke skal po­li­ti­an­mel­des.

Al­lan Frank – jurist, Da­ta­til­sy­net

”Blandt an­det er alt det ud­le­ve­re­de ma­te­ri­a­le til be­bo­er­ne – og her ta­ler vi om­kring 3.500 si­der i alt, sva­ren­de til me­re end én me­ter pa­pir lagt oven på hin­an­den – ble­vet gen­nem­gå­et for at sik­re, at der ik­ke skjul­te sig me­re end det, vi selv i før­ste om­gang hav­de fun­det frem til. Kon­klu­sio­nen er, at der i alt er cir­ka 40 til­fæl­de, der må be­teg­nes som fejl, og som vi kan kri­ti­se­res for. Der er ta­le om dybt be­kla­ge­li­ge men­ne­ske­li­ge fejl på bag­grund af men­ne­ske­li­ge vur­de­rin­ger,” lød det fra be­sty­rel­ses­for­man­den pri­mo fe­bru­ar 2019.

Et kapitel, der skal overstås

Her et lil­le års tid se­ne­re sid­der Flem­m­ing Brank, der ud over for­mand­spo­sten i bo­lig­fon­den er grup­pe­for­mand og kom­mu­nal­be­sty­rel­ses­med­lem for De Kon­ser­va­ti­ve på Fre­de­riks­berg, og ven­ter utå­l­mo­digt på Da­ta­til­sy­nets af­gø­rel­se. Han op­ly­ser, at der, si­den re­de­gø­rel­sen blev af­le­ve­ret, har væ­ret di­a­log i to om­gan­ge mel­lem fon­den og Da­ta­til­sy­net, hvor fon­den har skul­let sva­re på en ræk­ke ud­dy­ben­de spørgs­mål. Og nu øn­sker han frem for alt at få af­slut­tet den for fon­den sær­de­les ube­ha­ge­li­ge sag.

”Det er et ka­pi­tel, der skal over­stås, og det har godt nok væ­ret ir­ri­te­ren­de at skul­le ven­te så læn­ge på af­gø­rel­sen, og­så for­di sa­gen har væ­ret skre­get ud i me­di­er og fjern­syn. Det har ba­re ik­ke væ­ret rart,” fast­slår Flem­m­ing Brank.

Da­ta­til­sy­nets re­ak­tions­mu­lig­he­der går fra at ta­ge Fre­de­riks­berg Bo­lig­fonds re­de­gø­rel­se til ef­ter­ret­ning over at gi­ve kri­tik til at fo­re­ta­ge en po­li­ti­an­mel­del­se ret­tet mod den da­ta­ansvar­li­ge. Fre­de­riks­berg Bo­lig­fond kan til­med bli­ve idømt en bø­de i sa­gen, og det kan i prin­cip­pet bli­ve en be­ko­ste­lig af­fæ­re. Der er så­le­des hjem­mel til at gi­ve bø­der helt op til 20 mil­li­o­ner eu­ro for de vær­ste over­træ­del­ser af per­son­da­ta­for­ord­nin­gen el­ler op til fi­re pro­cent af den år­li­ge om­sæt­ning.

I og med der er gå­et et år med sags­be­hand­lin­gen, er det ik­ke re­a­li­stisk at tro, at fon­dens re­de­gø­rel­se ved­rø­ren­de læka­gen af per­son­føl­som­me op­lys­nin­ger blot ta­ges til ef­ter­ret­ning. Men Al­lan Frank fra Da­ta­til­sy­net vil ik­ke ud­ta­le sig om sa­gens sand­syn­li­ge ud­gang, før Fre­de­riks­berg Bo­lig­fond er ble­vet in­for­me­ret.

Vi kan jo ik­ke rig­tigt for­ven­te no­get i for­hold til bø­de­stør­rel­sen og har ik­ke af­sat no­get i bud­get­tet, men når der i an­dre sa­ger har væ­ret ta­le om bø­der i mil­li­on­s­tør­rel­sen, tror jeg slet ik­ke, at det er dér, vi er.

Flem­m­ing Brank – be­sty­rel­ses­for­mand, Fre­de­riks­berg Bo­lig­fond

”Jeg vil ik­ke præju­di­ce­re i te­le­fo­nen – du og al­le an­dre in­ter­es­se­re­de er nødt til at af­ven­te, at sa­gen er ble­vet frem­sendt til den på­gæl­den­de da­ta­ansvar­li­ge. Men jeg kan si­ge så me­get, at sa­gen lig­ger i den hø­je­re en­de – el­lers var den og­så ble­vet af­gjort. De sa­ger, der ik­ke var så slem­me, som vi først tro­e­de, ér ble­vet af­gjort ef­ter­hån­den. Så den­ne sag lig­ger i den hø­je­re en­de, og når den gør det, så er det man skal over­ve­je, om den skal po­li­ti­an­mel­des el­ler den ik­ke skal po­li­ti­an­mel­des,” si­ger Al­lan Frank.

Ikke sat penge af på budgettet til bøde

Flem­m­ing Brank, der­i­mod, bru­ger ud­tryk som ”den la­ve en­de” og ”små­tings­af­de­lin­gen,” når han skal vur­de­re sa­gen og dens mu­li­ge kon­se­kven­ser.

”Vi me­ner selv, at det her er i den la­ve en­de af ska­la­en, og sam­men­lig­net med an­dre er den­ne sag ne­de i små­tings­af­de­lin­gen. Selv­føl­ge­lig vil der kom­me en sank­tion, idet vi har gjort no­get, der er for­kert, og der læg­ges og­så op til, at det skal ko­ste no­get i form af en øko­no­misk sank­tion i én el­ler an­den stør­rel­ses­or­den, som jeg dog ik­ke tror bli­ver vold­som. Vi kan jo ik­ke rig­tigt for­ven­te no­get i for­hold til bø­de­stør­rel­sen og har ik­ke af­sat no­get i bud­get­tet, men når der i an­dre sa­ger har væ­ret ta­le om bø­der i mil­li­on­s­tør­rel­sen, tror jeg slet ik­ke, at det er dér, vi er,” si­ger Flem­m­ing Brank.

– For­ven­ter du en po­li­ti­an­mel­del­se fra Da­ta­til­sy­net?

”Det har jeg ik­ke fan­ta­si til at fo­re­stil­le mig. Mens der i an­dre sa­ger har væ­ret ta­le om læk af tu­sind­vis af cpr-num­re, er det i den­ne sag for­holds­vis få. Så min vur­de­ring er, at po­li­ti­et har vig­ti­ge­re op­ga­ver at ta­ge sig til,” si­ger Flem­m­ing Brank.

Han un­der­stre­ger, at det rent for­melt er Fre­de­riks­berg Bo­lig­fonds ad­mi­ni­stra­tions­sel­skab Pri­vat­Bo, der på veg­ne af bo­lig­fon­den har på­ta­get sig an­sva­ret i sa­gen.

”Pri­vat­Bo har få­et op­ga­ven over­dra­get fra Fre­de­riks­berg Bo­lig­fond, så det er Pri­vat­Bo, der som ad­mi­ni­stra­tions­sel­skab må af­hol­de den bø­de, der måt­te kom­me. Det har væ­ret be­hand­let på be­sty­rel­ses­ni­veau, og det er er­kendt, at det ik­ke er no­get, man kan læg­ge Fre­de­riks­berg Bo­lig­fond til last, selv­om det er os, der er ble­vet skre­get ud i me­di­er­ne som ban­dit­ter­ne,” si­ger Flem­m­ing Brank.

Be­sty­rel­ses­for­man­den for­ven­ter ik­ke, at der vil kun­ne ske en lig­nen­de fejl en an­den gang. I kølvan­det på sa­gen sker der nu i Pri­vat­Bo-re­gi iføl­ge for­man­den en ”me­get skarp pri­o­ri­te­ring” af, hvad ad­mi­ni­stra­tions­sel­ska­bet gem­mer og hvor­dan det sker.

”Fre­de­riks­berg Bo­lig­fond har ud­talt sin kri­tik af Pri­vat­Bo og bedt dem om at få ret­tet op. Og Pri­vat­Bo har lo­vet os, at en så­dan fejl ik­ke kan ske igen,” fast­slår Flem­m­ing Brank.