Den 21. december 2018 runddelte Frederiksberg Boligfonds administrationsselskab Privatbo 424 USB-stik til lejerne i tre ejendomme på Frederiksberg. USB-stikkene indeholdt materiale, som lejerne havde brug for, hvis de ville stifte en andelsboligforening – men på nogle af stikkene lå der ud over relevante dokumenter også filer indeholdende personfølsomme, fortrolige oplysninger såsom CPR-numre, kopier af sygesikringsbeviser, dødsattester og lægeudtalelser.
Nu, mere end halvandet år efter det dengang meget medieomtalte datalæk, er der faldet afgørelse i sagen.
Datatilsynet har besluttet at anmelde Privatbo til politiet, idet tilsynet vurderer, at administrationsselskabet ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen (GDPR).
Det er Datatilsynets opfattelse, at bødeniveauet skal være i størrelsesordenen 150.000 kroner.
”I en sag som den pågældende er det vores vurdering, at Privatbo som minimum burde have gennemgået tilbudsmaterialet, før det blev udleveret til andre. Vi hæfter os i den forbindelse særligt ved, at der var risiko for at videregive oplysninger af fortrolig karakter til blandt andet naboer, og at dette kunne indebære et betydeligt ubehag for de pågældende lejere, herunder for tab af omdømme,” siger Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, i en pressemeddelelse.
Lidt mere kontant udtrykker IT-sikkerhedsspecialist og cand.jur i Datatilsynet Allan Frank sig over for Fundats:
”Vi mener ikke, at den måde, de har behandlet andre menneskers personlige oplysninger på, har været omgærdet af passende sikkerhed, og vi mener ikke, de har udvist den fornødne agtpågivenhed. Der er ikke nogen undskyldende momenter. De burde have tænkt sig noget bedre om, inden de begyndte at dele sådanne oplysninger ud på USB-stik til Gud og hvermand. De burde have vidst bedre,” siger Allan Frank.
Konkret vurderer Datatilsynet, at Privatbo ikke har levet op til kravene i databeskyttelsesforordningens artikel 32 om at ”gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger.” Datatilsynet har herudover fundet grundlag for at udtale alvorlig kritik af, at Privatbo efterfølgende (i januar 2019) i forbindelse med samme tilbudspligt utilsigtet udleverede en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, til andre beboere.
Er ikke gået ud over så mange mennesker
Allan Frank vurderede allerede i januar i år i en artikel i Fundats, at ”sagen ligger i den højere ende.” Nu, hvor Datatilsynets stilling til sagen er klar, og den er videregivet til politiet, lægger han ikke skjul på, at selvom sagen er alvorlig, hører den trods alt ikke til blandt de værste af sin slags.
”Det er ikke den mest alvorlige sag. Denne her typer oplysninger, især når det gælder folks helbred og andre følsomme oplysninger, skal man passe ekstra godt på – gør man ikke det, strider det imod begrebet ‘passende sikkerhed’. Men der er ikke tale om en million danskeres følsomme oplysninger, som er blevet delt – det var trods alt ikke så mange mennesker, det gik ud over. Men det er stadig oplysninger, hvor man skal kunne forvente, at dem, man giver oplysningerne til, og som har lov til at behandle dem, passer godt på dem,” siger Allan Frank.
– Hvorfor vælger I at indstille til en bøde i stedet for at nøjes med at give kritik?
”Vores opfattelse er, at vi her har passeret området for kritik og bevæget os ind i et område, hvor en bøde er en passende sanktion. Alene det, at vi indstiller en bøde, er et udtryk for, at det er en sag i den højere ende,” forklarer Allan Frank.
Privatbo: Sanktionen er hård
Flemming Brank, der er formand for både Frederiksberg Boligfond og Privatbo, og derudover er gruppeformand og kommunalbestyrelsesmedlem for De Konservative på Frederiksberg, holder ferie og henviser i stedet til forretningsfører i Privatbo Karin Kryger Olsen.
I en skriftlig udtalelse sendt til Fundats understreger Karin Kryger Olsen, at hun finder sanktionen ”hård,” men hun betoner samtidig, at Privatbo stiller sig til rådighed for politiet i den videre behandling af sagen.
”For os er det her en længe ventet afgørelse. Vi har i hele 2019 arbejdet tæt sammen med Datatilsynet, og som vi også fortalte i 2018, var det en beklagelig, menneskelig fejl, som førte til episoden. Vi anmeldte selv fejlen til Datatilsynet, og vi er naturligvis meget kede af, at vi i dag har modtaget besked om, at Datatilsynet politianmelder os,” skriver Karin Kryger Olsen.
”Når vi sammenligner vores sag med de datalæk, vi kan læse om i medierne, synes vi, at sanktionen er hård. Men når det så er sagt, så stiller vi os naturligvis fuldt og helt til rådighed, hvis politiet beslutter at gå videre med sagen. Vi ønsker på alle måder at medvirke til, at der sættes et punktum i sagen,” understreger forretningsføreren.
Privatbo og ikke boligfonden skal betale bøden
Karin Kryger Olsen glæder sig over, at der så vidt vides ikke er nogen, der har fået misbrugt deres oplysninger.
”Det er vi selvfølgelig glade for. Det ændrer så ikke ved, at vi kun kan beklage det skete. Som vi har sagt hele tiden, er én personlig oplysning, der sendes forkert ud, én for mange. Kort efter episoden i 2018 iværksatte vi en gennemgribende gennemgang af vores arkivmateriale og vores procedurer for at sikre, at lignende episoder ikke kan gentage sig i fremtiden, og at vores lejere kan føle sig helt trygge ved, hvordan vi opbevarer og håndterer deres oplysninger,” fastslår Karin Kryger Olsen.
Privatbo har, skriver Karin Kryger Olsen, ikke yderligere kommentarer til sagen, og det har således ikke været muligt for Fundats at få svar på, hvem der konkret kommer til at betale bøden. Men at dømme ud fra, hvad Flemming Brank i januar i år sagde til Fundats, er der ingen tvivl om dét spørgsmål.
”Det er Privatbo, der som administrationsselskab må afholde den bøde, der måtte komme. Det har været behandlet på bestyrelsesniveau, og det er erkendt, at det ikke er noget, man kan lægge Frederiksberg Boligfond til last, selvom det er os, der er blevet skreget ud i medierne som banditterne,” sagde Flemming Brank i januar.
