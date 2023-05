I lodret strid med både Gadejuristens interne regler og regler for datasikkerhed videresendte Moderaterens Nanna W. Gotfredsen fortrolige oplysninger om udsatte klienter til sig selv, da hun i 2021 blev suspenderet som daglig leder af Gadejuristen.

Det viser en aktindsigt fra Datastilsynet samt interne dokumenter fra Gadejuristen, som Ekstra Bladet har set.

Overførslerne førte til, at Gadejuristen lynhurtigt måtte lukke Nanna W. Gotfredsens adgang til hendes mail og rapportere miseren til Datatilsynet.

Suspendering

Sagen begynder i januar 2021, hvor medarbejderne i Gadejuristen går til bestyrelsen og insisterer på, at Nanna W. Gotfredsen bliver sendt på orlov efter lang tid med en adfærd, de mener skader Gadejuristen, dens klienter og er uacceptabel.

I et brev til bestyrelsen beskriver medarbejderne dusinvis af episoder og forhold, de anser for at være meget problematiske og uforenelige med rollen som daglig leder.

Annonce:

Den 5. februar 2021 bliver Nanna Gotfredsen ifølge bestyrelsens egen afrapportering til Civilstyrelsen suspenderet i tre måneder, og bestyrelsen kræver, at hun 'deltager i et ledelsesforløb'.

Uddrag af Gadejuristens bestyrelses afrapportering om organisationens kvaler i 2021. / Aktindsigt

Opdaget ved en fejl

Meldingen om suspenderingen sker 09:39 den 5. februar.

Få timer efter modtager en ansat dog pludseligt en mail, fordi vedkommende var sat CC på den.

Den viser, at Nanna W. Gotfredsen er ved at sende mails om klienter fra sin mail i Gadejuristen til en mail i sit eget, nyoprettede konsulentselskab, BDH Laywering.

'På baggrund af disse oplysninger opstod mistanke om, at (udeladt red.) var i færd med at videresende flere emails, potentielt mod personoplysninger til disse mailkonti,' står der i Gadejuristens indberetning til Datatilsynet om hændelsen.

Gadejuristens indberetning om databruddet. Foto: Aktindsigt

I aktindsigten er navne fjernet, men Ekstra Bladet har fået bekræftet, at der er tale om Nanna W. Gotfredsen, der da også er den eneste, der blev suspenderet den dag.

Det får medarbejderne til straks at orientere bestyrelsen, og Nanna W. Gotfredsens adgang til emails bliver straks lukket.

Annonce:

'5/2 2021: Bekræftelse fra kontoret om at Nanna Gotfredsen ikke mere har adgang til mails, hjemmeside og økonomiske dispositioner,' skriver bestyrelsen i en større afrapportering.

Hos Gadejuristen finder man efterfølgende ud af, at der stik mod reglerne for persondata og Gadejuristens interne regler er sendt mindst 12 emails med personfølsomme oplysninger ukrypteret, og uden at de berørte er informeret, ud af huset til Nanna W. Gotfredsens eksterne mail.

Der blev taget kontakt til Datatilsynet, viser afrapportering. Foto: Aktindsigt.

Indberetning

'Gadejuristen vurderer, at ovenstående brud på persondatasikkerheden indebærer en risiko for de implicerede klienters rettigheder. Gadejuristen har derfor pligt til at anmelde bruddet til Datatilsynet og underrette de registrerede om bruddet,' skriver medarbejderne i indberetningen til Datatilsynet og fortsætter:

'Bruddet skyldes efter Gadejuristens vurdering en suspenderet ansats handlinger. Handlinger som er i strid med Gadejuristens procedurer for håndtering af personoplysninger, som alle ansatte er instrueret i at følge og som er tilgængelige i vores sagsbehandlingssystem.'

Annonce:

Datatilsynet er da også i sit svar til Gadejuristen enig i, at reglerne er brudt.

'Datatilsynet lægger som følge af anmeldelsen fra Gadejuristen til grund, at der er sket et brud på persondatasikkerheden.'

'I den forbindelse skal Datatilsynet bemærke, at sikkerhedsbrud, der udsætter fysiske personers rettigheder for risiko, oftest vil have en sådan karakter, at det vil give anledning til kritik fra tilsynet,' skriver Datatilsynet.

Tilsynet gør dog ikke mere ved sagen, fordi det vil være for ressourcekrævende.

Ansvaret lå hos Nanna W. Gotfredsen, skriver Gadejuristen i sin indberetning. Foto: Aktindsigt

--------- SPLIT ELEMENT ---------

- En fejl

Ekstra Bladet har spurgt Nanna W. Gotfredsen om, hvorfor hun samme dag, som hun blev suspenderet af bestyrelsen som daglig leder af Gadejuristen, videresendte mails om klienter til sit nystartede selskab og om hun var opmærksom på, at det var i strid med reglerne.

Nanna W. Gotfredsen har sendt følgende kommentar:

Annonce:

- Jeg begik en fejl ved at videresende nogle mails i strid med GDPR-reglerne, og det beklager jeg. Det skulle jeg som jurist have haft øje for.

- Mine intentioner var de bedste. Nemlig fortsat at hjælpe de klienter, som kun ønskede at samarbejde med mig, og hvis sager som jeg efter aftale med bestyrelsen fortsat varetog under min orlov fra Gadejuristen, som jeg stiftede for 25 år siden for at yde gratis retshjælp til gadens folk og andre udsatte borgere.

--------- SPLIT ELEMENT ---------

Det handler om retten til privatliv

Reglerne for, hvad man må gøre med klienters personlige information, handler grundlæggende om at beskytte og sikre den menneskerettighed, der er privatlivets fred.

Det forklarer Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet:

- Det kan godt lyde lidt abstrakt, hvorfor det er så vigtigt, at ens personlige data bliver behandlet sikkert. Men det udspringer af de grundlæggende rettigheder, vi har.

- Her den helt fundamentale ret til privatlivets fred, der er rodfæstet i menneskerettighederne og EU's charter, siger han og fortsætter:

Annonce:

- Derfor må man ikke som læge, kiropraktor eller her retshjælp sende oplysninger om klienter ud af systemet og til sig selv. Oplysningerne skal blive det sted og i den kontekst, hvor de er givet.

Dataansvarlig

Reglerne om, at personlige data skal blive det sted, hvor de er givet, handler om evnen til at beskytte dem. I dette tilfælde er klienternes oplysninger givet til Gadejuristen, der dermed er ansvarlig for dem. I fagsproget kaldt dataansvarlig.

- Den dataansvarlige skal sørge for, at data bliver behandlet sikkert og ordentligt. Men det kan den ikke, hvis oplysningerne bliver sendt ud af systemet til eksempelvis en privat mail, siger Allan Frank og fortsætter:

- Lige så snart de slipper ud af systemet, så kan de jo blive kopieret, sendt videre og alt muligt andet. Det er det, reglerne skal modvirke.

- At oplysningerne bliver videregivet og kan ende hos nogen, der ikke skal have dem. Derfor er der ret strenge restriktioner for, hvad man må med de informationer.