DSB

Telegade 2
2630 Taastrup
Sendt med digital post til CVR 25050053

14. august 2015

Vedrrende datasikkerhed hos DSB

Datatilsynet
Borgergade 28, 5.
1300 Kbenhavn K

Datatilsynet er via borgerhenvendelser samt medieomtale blevet bekendt

med, at DSB tilsyneladende fremsender e-mails med links til personoplysninger, der indgr i personlige konti for de enkelte medlemmer af DSB Plus. Efter det oplyste krves der ikke login med adgangskode for at tilg oplysningerne, man skal blot klikke p linket. Kopi af en borgerhenvendelse vedlgges.

CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
dt@datatilsynet.dk
www.datatilsynet.dk
J.nr. 2015-632-0145
Sagsbehandler
Bjarke Asger Bro
Direkte 3319 3217

Hertil kommer, at der skulle vre sket fremsendelse af links til uvedkommende. Der henvises til artiklen fra 12. august 2015 p Berlingskes internetsite:
http://m.b.dk/nationalt/dsb-sendte-persondata-til-forkerte-kunder.
I henhold til persondatalovens1 58, stk. 1, pser Datatilsynet af egen drift, at
der ikke sker overtrdelser af persondataloven eller bestemmelser fastsat i
medfr af denne.
Persondatalovens 41, stk. 3, stiller krav om, at den dataansvarlige skal trffe
de forndne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at
oplysninger hndeligt eller ulovligt tilintetgres, fortabes eller forringes, samt
mod, at de kommer til uvedkommendes kendskab, misbruges eller i vrigt
behandles i strid med loven.
Herudover er persondatalovens sikkerhedskrav for offentlige myndigheder
nrmere uddybet i sikkerhedsbekendtgrelsen2 og i Datatilsynets vejledning3
dertil.
Datatilsynet har p denne baggrund besluttet at starte en sag af egen drift og
skal i den anledning anmode DSB om en udtalelse.

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ndringer
Justitsministeriets bekendtgrelse nr. 528 af 15. juni 2000, som ndret ved bekendtgrelse
nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,
som behandles for den offentlige forvaltning.
3
Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgrelse nr. 528 af 15. juni 2000
om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den
offentlige forvaltning.
2

Det nsker herunder oplyst:

1. Om oplysninger, som DSB har registreret om medlemmerne af DSB
Plus, kan tilgs via internettet uden login med adgangskode.
2. Hvilke typer af personoplysninger der er registreret.
3. Hvorvidt der kan forekomme oplysninger af fortrolig karakter.
4. Hvorvidt DSB har overvejet, om den anvendte praksis lever op til
kravet i persondatalovens 41, stk. 3, (som uddybet i sikkerhedsbekendtgrelsen) om beskyttelse af personoplysninger med de forndne
sikkerhedsforanstaltninger.
5. Hvorvidt DSB vil stramme op p sikkerheden, s personoplysningerne fremover ikke er tilgngelige via internettet uden login med adgangskode.
Herudover nskes det oplyst:
6. Om der som beskrevet i artiklen er fremsendt mails med direkte links
til medlemsoplysninger til uvedkommende, og i givet fald
7. Hvor mange personer der er berrt af dette.
8. Hvilke skridt DSB har taget for at begrnse skadevirkningerne af
hndelsen, jf herved ogs kravet i persondatalovens 5, stk. 1, om
god databehandlingsskik. Der kan herved henvises til Datatilsynets
hjemmesidetekster:
http://www.datatilsynet.dk/erhverv/sikkerhedsbrister/ og
http://www.datatilsynet.dk/erhverv/sikkerhedsbrister/utilsigtetoffentliggoerelse/. De to hjemmesidetekster vedlgges ogs som bilag
til dette brev.
9. Om DSB har orienteret de berrte personer om det skete eller ptnker at gre dette.
Det nskes endvidere oplyst:
10. Om registrering og anden behandling af oplysninger om medlemmerne af DSB Plus forests af DSB selv eller af en ekstern databehandler,
herunder det i artiklen omtalte kommunikationsbureau, og i givet fald
11. En beskrivelse af databehandlerens opgaver i forhold til de omhandlede medlemsoplysninger.
12. Hvor det it-system, der anvendes til lagring og hndtering af oplysningerne om medlemmerne, driftafvikles.
13. Om DSB har pset, at behandlingen af personoplysninger hos databehandleren er omgrdet med tilstrkkelige sikkerhedsforanstaltninger,
jf. 42, stk. 1, i persondataloven.
14. Hvilken databehandleraftale DSB har indget med databehandleren,
jf. 42, stk. 2, i persondataloven. Kopi bedes indsendt til Datatilsynet.
Det nskes endvidere oplyst:
15. Hvorvidt DSB har vurderet, at der sker behandling af fortrolige personoplysninger omfattet af anmeldelsespligten til Datatilsynet og kravene i sikkerhedsbekendtgrelsens kapitel 3 om supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger. I givet fald
nskes det oplyst:

16. Om de ekstra regler om autorisation og adgangskontrol i 17-18 i

sikkerhedsbekendtgrelsen iagttages (i tillg til de almindelige regler
i 11 og 12 om autorisation og adgangskontrol).
17. Om der sker kontrol med afviste adgangsforsg som foreskrevet i
18 i sikkerhedsbekendtgrelsen, samt
18. Om der sker logning som krvet efter 19 i sikkerhedsbekendtgrelsen.
Datatilsynet skal anmode om at modtage svar p sprgsmlene senest 3 uger
fra dags dato.
Kopi af dette brev sendes til borgere, som har rettet henvendelse til Datatilsynet.
Det skal for god ordens skyld oplyses, at tilsynet eventuelt vil offentliggre
oplysninger om sagen p sin hjemmeside.

Med venlig hilsen

Lena Andersen
Kontorchef

Bilag:
1. Datatilsynets hjemmesidetekst om pligter ved sikkerhedsbrister
2. Datatilsynets hjemmesidetekst om utilsigtet offentliggrelse p internettet
3. Kopi af en borgerhenvendelse til Datatilsynet