Personvernnemndas vedtak 24. juni 2019 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Hans Marius Tessem og Heidi Talsethagen)
Saken gjelder klage fra A på Datatilsynets vedtak 10. januar 2019 om å avslutte behandlingen av en sak vedrørende Høgskolen i X sin håndtering av en avviksmelding om en eksamensbesvarelse som ble sendt til feil person.
Sakens bakgrunn
A gjennomførte 13. juni 2018 eksamen i statsvitenskap ved Høgskolen i X. Hun klaget på eksamenssensuren og høgskolen oversendte 26. juli 2018 eksamensbesvarelsen til klagesensorene, med kopi til klager. Ved en feil ble kopien (vedlagt eksamensbesvarelsen) sendt til en annen student. Bakgrunnen for feilsendingen var at klager og en medstudent hadde fått generert samme kandidatnummer i studentdatabasen. Det er opplyst at kandidatnummer normalt er nok til å skille studenter fra hverandre, men at det i dette tilfellet ble generert to like kandidatnummer fordi det skulle avvikles to eksamener i samme emne, men med ulik dato.
Eksamensbesvarelsen inneholdt ikke direkte identifiserbare opplysninger, men vedkommende som hadde fått besvarelsen tilsendt kjente A og forsto, ved å lese den tilsendte eksamensbesvarelsen, at det var As besvarelse vedkommende hadde fått tilsendt, særlig fordi det var beskrevet erfaringer fra As arbeidsplass som var i Y.
Den 27. juli 2018 fikk A en melding fra medstudenten som hadde mottatt feilsendingen dagen før. Vedkommende informerte A om feilsendingen og opplyste at han hadde varslet Høgskolen i X som hadde bedt han om å slette eksamensoppgaven. Høgskolen varslet ikke A om feilsendingen. Etter at A selv tok med kontakt med høgskolen, beklaget høgskolen hendelsen og manglende varsel i brev til A 18. august 2018.
Høgskolens dekan, prodekan for utdanning og fakultetsdirektøren ble informert om feilen, og personvernombudet for Høgskolen i X vurderte avviket i behandlingen av personopplysninger. I brev til A 10. september 2018 uttaler personvernombudet:
«Personvernombudet ved Høgskolen i [X] har fått oversendt en henvendelse om et mulig brudd på personvernregelverket. Det ble også stilt spørsmål om saken er, eller burde ha vært, oversendt til Datatilsynet.
Høgskolen i [X] tar informasjonssikkerhet på alvor, og vi følger det regelverk som til enhver tid gjelder på området. Fram til 20. juli var det personopplysningsloven (av 4. april 2000) med tilhørende forskrift, og det er følgelig denne som regulerer håndteringen av denne hendelsen. Forskriften hadde i sin § 2-6 bestemmelser om oppfølging av avvik:
Avvik
Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.
Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles.
Resultatet fra avviksbehandling skal dokumenteres.
«[K]onfidensialitet» vil i denne sammenheng særlig gjelde kravet om å overholde lovpålagt taushetsplikt, og å hindre at taushetsbelagt informasjon deles med uvedkommende. En eksamensbesvarelse er en personopplysning fordi det er mulig å gjøre en kobling mellom en enkeltperson og en vurdering eller informasjon, men i seg selv betyr ikke det noe annet enn at man skal behandle besvarelsen i tråd med regelverket som gjelder for personopplysninger. Hverken eksamensbesvarelser eller karakterer på disse i høyere utdanning er taushetsbelagt. Offentlighetsloven åpner i § 26 for at slike opplysninger kan unntas fra innsyn, men den enkelte kandidat har ikke krav på et slikt vern. Det er institusjonen som tar stilling til slike spørsmål. Følgelig er det ikke et krav til konfidensialitet i vår behandling av eksamensbesvarelser. Grunnen til at det benyttes kandidatnummer, og ikke navn, er ikke ut fra et behov for å beskytte kandidatene, men fordi sensorene ikke skal kjenne deres identitet.
I denne saken har ikke Høgskolen i [X] fulgt sine egne rutiner, og fakultetet har beklaget det. Jeg legger til grunn at avviket dokumenteres, og at det settes inn tiltak som hindrer gjentagelse. For øvrig er det ikke begått avvik som krever varsling av Datatilsynet.
Jeg legger for øvrig til grunn at det heller ikke etter det nye regelverket for personopplysningssikkerhet ville vært påkrevet å varsle Datatilsynet. Avviket er behandlet internt, personvernombudet er varslet og det er ikke snakk om et brudd på
personopplysningssikkerheten som medfører en "risiko for fysiske personers rettigheter og friheter" Personvernforordningen artikkel 33 nr. 1.»
A kontaktet Datatilsynet 20. september 2018. Hun mener høgskolen har brutt personopplysningssikkerheten i forbindelse med håndteringen av klagesensuren, jf. GDPR artikkel 33. Hun ba Datatilsynet forsikre seg om at utfordringen med eksamenssystemet Inspera, generering av kandidatnumre i studentdatabasen og håndteringen av avvik undersøkes, slik at dette ikke skjer igjen.
I vedtak 10. januar 2019 la Datatilsynet til grunn av høgskolen samlet sett har håndtert denne saken tilfredsstillende. Datatilsynet avsluttet klagesaken etter å ha gjort begrensede undersøkelser.
A klaget på Datatilsynets vedtak i e-post 20. januar 2019. Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse.
Saken ble oversendt Personvernnemnda ved brev 25. april 2019. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. Ingen av partene har kommet med noen merknader.
Nemnda har under saksutredningen innhentet de opplysningene som høgskolen feilaktig oversendte til medstudenten i forbindelse med klagesensuren, herunder As eksamensbesvarelse.
Saken ble behandlet i nemndas møte 24. juni 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Line Coll, Hans Marius Tessem og Heidi Talsethagen. Nemndas sekretær, Anette Klem Funderud var også tilstede.
A har i hovedsak anført
Høgskolen i X har ikke håndtert denne saken tilfredsstillende slik Datatilsynet legger til grunn. Personvernombudet har lagt til grunn at det iverksettes tiltak og A ønsker å få dette dokumentert. Hun viser til personvernforordningen artikkel 4 nr. 12 vedrørende spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Eksamensbesvarelsen er en personopplysning og feilsending av den representerer et brudd på sikkerheten.
Eksamensbesvarelsen inneholder empiri fra egen jobb og den avslører at undertegnede jobber i Y. A er enig i at besvarelsen ikke omtaler taushetsbelagte opplysninger, men anfører at eksamensbesvarelsen inneholder sensitive personopplysninger (særlig kategori av opplysninger, jf. GDPR artikkel 9), fordi det som er skrevet kan identifisere hennes politiske og filosofiske oppfatning.
Bruddet på personopplysningssikkerheten i denne saken er et uttrykk for en systemsvikt som høgskolen ikke har rettet opp i. Selv om høgskolen har lagt seg «langflat» og beklaget hendelsen, er høgskolens kompetanse hva gjelder behandling av personopplysninger lav. Dette gjelder kjennskap til regelverket, erkjennelse av hva som er brudd på personopplysningssikkerheten og håndteringen av avvik. Høgskolen har heller ikke forsikret seg om at den studenten som mottok eksamensbesvarelsen faktisk har slettet den.
A ønsker at Datatilsynet forsikrer seg om at utfordringen med eksamenssystemet Inspera, generering av kandidatnumre i studentdatabasen og håndteringen av avvik undersøkes, slik at dette ikke skjer igjen. Bakgrunnen for dette er at det etter As syn fremstår som om karakteriseringen av avviket er feilaktig, det brukes foreldet regelsett, det er usikkert om det foreligger avviksrapport, samt usikkert om systemfeil er ryddet opp i til tross for at høgskolen hevder dette.
Høgskolen i X har i hovedsak anført
Høgskolen har begått en feil og ikke fulgt egne rutiner, og har beklaget hendelsen overfor A. Kandidatnummeret anses som sikker identifikasjon, men i dette tilfellet, med to eksamensavviklinger, ble det ved en feil generert samme kandidatnummer på A og medstudenten. Begge studentene hadde derfor, rimelig nok, oppgitt samme kandidatnummer ved henvendelse til høgskolen i forbindelse med klagen på sensuren. Saksbehandleren dobbeltsjekker alltid med studentdatabasen at kandidatnummeret er riktig, før klagesaken behandles, noe som ikke hjalp i dette tilfellet da begge var registrert i studentdatabasen med samme kandidatnummer. Da saksbehandleren hentet ut besvarelsen fra Inspera, ble feil besvarelse på dette kandidatnummeret hentet ut.
Fakultetets dekan, prodekan for utdanning og fakultetsdirektør er informert om saken, og høgskolens personvernombud la til grunn at det settes inn tiltak som hindrer gjentakelse av det dokumenterte avviket, men at det det ikke er begått avvik som krever varsling til Datatilsynet.
Det er ikke skjedd noe brudd på lovbestemt taushetsplikt. Det er heller ikke etter det nye regelverket for personopplysningssikkerhet påkrevet å varsle Datatilsynet i et tilfelle som dette. Det er ikke snakk om et brudd på personopplysningssikkerheten som medfører en risiko for fysiske personers rettigheter og friheter, jf. personvernforordningen artikkel 33 nr. 1.
Som følge av hendelsen etablerte høgskolen en ny, intern rutine for fakultetets behandling av klagesaker, jf. «Rutine [...] klage på sensur» oppdatert 18. oktober 2018. Punkt 3 i rutinen skal forhindre gjentakelse av en slik svært beklagelig hendelse:
«Forsikre deg om at det er riktig besvarelse du henter ut! Sjekk vurderingsprotokollen i FS "student vurdering samlebilde"; hvilken eksamenstid (høst/vår – ordinær/konte) studenten var oppmeldt til, og at dette tidspunktet samsvarer med eventuelt Inspera-rom som besvarelsen hentes fra. NB: Dette er særlig viktig dersom det har vært gjennomført flere eksamener i et emne, innenfor samme eksamensperiode. Da kan det ha blitt generert samme kandidatnummer på flere kandidater. Dobbeltsjekk derfor også alltid mot eksamensgjennomføringen, og sjekk eventuelt om det kan være
flere Insperarom for emnet i samme eksamensperiode.»
Som følge av denne saken, er det også slutt på at de som klager over sensurvedtak får kopi av dokumentene som går til klagesensorene. - Denne rutinen gjennomgås nå med alle nye eksamensmedarbeidere.
Høgskolen skulle ha informert A umiddelbart når feilen ble oppdaget. Det er sterkt beklagelig at det ikke ble gjort. Det var medstudenten som oppdaget feilen og varslet administrasjonen. Saksbehandleren, som ganske nylig hadde tatt over disse oppgavene, ble usikker på hvordan situasjonen burde håndteres videre. Det var også ferieavvikling i administrasjonen, og saksbehandler hadde ingen erfarne medarbeidere å spørre til råds. Hadde det vært svært sensitiv informasjon som hadde kommet på avveie, hadde saksbehandleren selvfølgelig tatt kontakt umiddelbart. Det saksbehandleren midlertid gjorde, var å be medstudenten være snill å slette e-posten med en gang, noe saksbehandleren oppfattet at medstudenten bekreftet ville skje.
Datatilsynets vurdering
Hensikten med regler om avvikshåndtering er at en virksomhet skal oppdage avvik og iverksette de tiltak som anses nødvendige for å lukke avviket, samt iverksette de tiltak som er egnet til å hindre at det skjer igjen. En viktig del av avviksbehandlingen er læring internt i virksomheten.
Av sakens dokumenter framgår det at Høgskolen i X har tatt denne hendelsen på alvor, og fulgt sine egne retningslinjer for behandling av avvik. Personvernombudet er involvert og skriver at han legger til grunn at avviket er dokumentert og at det settes i verk tiltak som hindrer gjentagelse.
Enkelte sider ved høgskolens avvikssystem kan sikkert problematiseres, for eksempel at fakultetet ikke oppdaget feilen med generering av kandidatnummer selv. Denne saken har imidlertid gjort fakultetet oppmerksom på dette, og tilsynet legger til grunn at de for framtiden er oppmerksom på tilfeller hvor dette kan skje.
Datatilsynet er enig i personvernombudets vurdering av at dette ikke er en avvikssak som høgskolen har plikt til å varsle Datatilsynet om. Samlet sett har høgskolen håndtert denne saken tilfredsstillende. Med de ressursene Datatilsynet har til rådighet må tilsynet foreta en streng prioritering av hvilke henvendelser som skal følges opp. Som følge av dette, sammen med vurderingen av at høgskolen i sum har håndtert denne saken tilfredsstillende, har Datatilsynet besluttet å ikke følge opp As henvendelse ytterligere.
De oppgaver som Datatilsynet er pliktig til å utføre følger av personvernforordningen artikkel 57. Av artikkel 57 nr. 1 bokstav f følger det at Datatilsynet skal:
«behandle klager som er inngitt av en registrert […] og undersøke, i den grad det er hensiktsmessig, klagens gjenstand […].
Datatilsynet har altså en plikt til å behandle klager som kommer inn til tilsynet, og som gjelder manglende etterlevelse av personvernforordningen. Undersøkelsesplikten gjelder imidlertid «i den grad det er hensiktsmessig». Etter ordlyden har Datatilsynet anledning til å forta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17. Skjønnsutøvelsen med hensyn til hvor grundig tilsynet vurderer lovligheten av den aktuelle behandlingen av personopplysninger må også framstå som forsvarlig.
Den aktuelle klagesaken har sin opprinnelse i et brudd på personopplysningssikkerheten ved høgskolen. Etter at Personvernforordningen trådte i kraft har Datatilsynet hatt en stor økning i antall meldinger om brudd på personopplysningssikkerheten. Som illustrasjon ble det meldt fra om 206 avvik i hele 2016 mens det i andre halvår 2018 ble meldt 821. For å håndtere denne økningen kategoriserer Datatilsynet meldingene om brudd på personopplysningssikkerheten for å avgjøre hvordan de håndteres videre. Avgjørende for kategoriseringen er blant annet hendelsens karakter, risikopotensiale, behandlingsansvarliges håndtering etc. Erfaring så langt har vist at 73% av meldingene avsluttes uten videre undersøkelser eller sanksjoner, mens 27 % av meldingene blir fulgt opp i et saksbehandlingsspor.
Bruddet på personopplysningssikkerheten som er gjenstand for klagen var i kategorien som ble avsluttet uten videre oppfølging. Vurderingen som ble gjort var at høgskolen tok sikkerhetshendelsen på alvor og fulgte egne retningslinjer for behandling av sikkerhetsavvik. Personvernombudet ble involvert, og bekreftet at avviket var dokumentert og at det ble satt i verk tiltak egnet for å hindre gjentagelse.
Det er Datatilsynets vurdering at behandlingsansvarlig har håndtert sikkerhetshendelsen forsvarlig og foretatt seg det som er forventet av dem. Det er ikke er behov for ytterligere undersøkelser.
Personvernnemndas vurdering
Saken gjelder As eksamensbesvarelse i statsvitenskap som Høgskolen i X ved en feil sendte til en medstudent i forbindelse med klagesensuren. Spørsmålet er om høgskolen har fulgt opp avviket på en tilfredsstillende måte.
Feilutsendelsen av As eksamensbesvarelse skjedde 26. juli 2018, dvs. etter at ny lov om behandling av personopplysninger trådte i kraft. Saken skal derfor behandles etter personopplysningsloven 2018 og GDPR (personvernforordningen).
Nemnda legger til grunn at utsendelsen av As eksamensbesvarelse til en annen medstudent representerte en behandling av personopplysninger i lovens forstand, i og med at teksten i besvarelsen var slik at medstudenten indirekte identifiserte hvem som hadde skrevet eksamensbesvarelsen selv om navnet ikke var oppgitt. Utsendelsen representerte dermed brudd på personopplysningssikkerheten ved at det skjedde en utilsiktet spredning av personopplysninger, jf. GDPR artikkel 4 nr. 12.
Ved brudd på personopplysningssikkerheten, følger den behandlingsansvarliges plikter av GDPR artikkel 33, som lyder:
«1. Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.
2. Etter å ha fått kjennskap til et brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige.
3. Meldingen nevnt i nr. 1 skal minst
- beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt,
- inneholde navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes,
- beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
- beskrive de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
4. Dersom og i den grad det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold.
5. Den behandlingsansvarlige skal dokumentere ethvert brudd på personopplysningssikkerheten, herunder de faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det. Denne dokumentasjonen skal gjøre det mulig for tilsynsmyndigheten å kontrollere samsvar med denne artikkel.»
Det avgjørende for den behandlingsansvarliges meldeplikt er dermed etter nr. 1 om sikkerhetsbruddet sannsynligvis «vil medføre en risiko for fysiske personers rettigheter og friheter». Relevante momenter for denne vurderingen vil blant annet være omfanget av den utilsiktede spredningen (hvor mange har fått tilgang til opplysningene) og innholdet i de opplysningene som spres, herunder om det er taushetsbelagte opplysninger eller annen sensitiv informasjon.
I og med at A har anført at personopplysningene tilhørte den særlige kategorien av personopplysninger som omfattes av GDPR artikkel 9, har nemnda innhentet kopi av den aktuelle eksamensbesvarelsen. Etter gjennomlesing av eksamensbesvarelsen er det nemndas vurdering at besvarelsen verken inneholder opplysninger om politisk oppfatning eller filosofisk overbevisning. Det har derfor ikke skjedd spredning av sensitive opplysninger og det er ikke noe ved innholdet i de aktuelle personopplysningene som tilsier at sikkerhetsbruddet er særlig alvorlig. Spredningen har også bare skjedd til én person. Etter nemndas vurdering er det ikke sannsynlig at den utilsiktede spredningen vil medføre en risiko for As rettigheter eller friheter og det foreligger derfor ikke noe brudd på personopplysningsloven ved at høgskolen ikke varslet Datatilsynet om avviket.
Datatilsynets oppgaver følger av GDPR artikkel 57. Etter GDPR artikkel 57 nr. 1 bokstav f skal Datatilsynet:
«behandle klager som er inngitt av en registrert [...] og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist [...].»
Datatilsynet har altså en plikt til å behandle klager som kommer inn til tilsynet, og som gjelder manglende etterlevelse av forordningen. Undersøkelsesplikten gjelder «i den grad det er hensiktsmessig». At Datatilsynet har en viss frihet til å avgjøre hvor omfattende undersøkelser den enkelte sak krever, er også tidligere lagt til grunn av nemnda. I PVN-2017-9 uttales følgende:
«Personvernnemnda legger til grunn at Datatilsynet som tilsynsmyndighet etter personopplysningsloven, har anledning til å foreta en viss prioritering av saker i form av at ikke alle henvendelser behandles like grundig. En slik prioritering forutsetter at Datatilsynet i det aktuelle tilfellet har oppfylt sin utrednings- og informasjonsplikt slik at saken er tilstrekkelig opplyst, jf. forvaltningsloven § 17, samt at tilsynets skjønnsutøvelse med hensyn til hvor grundig de vurderer lovligheten av den aktuelle behandlingen av personopplysninger framstår forsvarlig. Ved denne forsvarlighetsvurderingen vil personvernhensyn være sentralt jf. lovens formål i § 1.»
Etter nemndas vurdering var det forsvarlig av Datatilsynet å avslutte sin saksbehandling og legge til grunn at Høgskolen i X har håndtert sikkerhetsbruddet forsvarlig uten å foreta nærmere undersøkelser. Nemnda viser til Datatilsynets vurdering av saken som nemnda i hovedtrekk deler.
A får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak opprettholdes.
Oslo, 24. juni 2019
Mari Bø Haugstad
Leder