Datatilsynet besvarede henvendelsen den 29. november 2011. Tilsynets svar er offentliggjort her. 

Datatilsynet tilkendegav, at hvis udfaldet på Rudersdal Kommunes overvejelser om sikkerheden i løsningen er, at der i et eller andet omfang kan etableres adgang til personoplysninger, herunder følsomme personoplysninger, bør kommunen efter Datatilsynets opfattelse også give mulighed for at spærre adgangen i de tilfælde, hvor brugeren ikke har adgang til Min Rude.

2. På telefonisk forespørgsel fra Datatilsynet oplyste Rudersdal Kommune den 20. december 2011, at der ikke var etableret adgang til at spærre den mobile adgang i de tilfælde, hvor brugeren ikke har adgang til Min Rude.

Datatilsynet tog herefter sagen op af egen drift med henblik på at afklare, om Rudersdal Kommune lever op til persondatalovens¹  sikkerhedskrav i forbindelse med muligheden for at spærre adgangen til den omhandlede selvbetjeningsløsning. 

3. Ved e-mail af 23. december 2011 fremkom Rudersdal Kommune efter anmodning fra Datatilsynet med en redegørelse.

Rudersdal Kommune oplyste bl.a., at der i forbindelse med MobilRuden – i begrænset omfang – behandles personfølsomme oplysninger i form af modtagelse af NemPost. Kommunen henviste til borgerens mulighed for at for at gå på Min Rude og slette den godkendte enhed. I forhold til de af Datatilsynet skitserede yderligere tilfælde, hvor der kan være behov for at spærre adgangen til MobilRuden² , anførte kommunen, at en iPhone-bruger har mulighed for at lukke sin iPhone, herunder adgangen til MobilRuden, på få sekunder via hjemmesiden www.icloud.com. Brugeren kan gøre dette uden adgang til Min Rude og uden NemID.
 
4. Datatilsynet har i sin udtalelse af 1. november 2010 vedrørende behandling af personoplysninger i NemPost³  lagt til grund, at Rudersdal Kommune og Gentofte Kommune er dataansvarlige for de behandlinger af personoplysninger, der sker i forbindelse med administration af NemPost-ordningen.

5. Den 13. marts 2012 skrev Datatilsynet herefter til såvel Gentofte Kommune som Rudersdal Kommune. Tilsynet udtalte bl.a. følgende: 

Datatilsynet fandt endvidere, at muligheden for at spærre eller ”wipe” sin telefon på hjemmesiden www.icloud.com ikke opfyldte kravet om, at der skal etableres mulighed for spærring af den mobile adgang. 

6. Ved e-mail af 22. marts 2012 er Rudersdal Kommune og Gentofte Kommune fremkommet med udtalelser til sagen.

6.1. Rudersdal Kommune er ikke uenig i, at forpligtelsen efter persondataloven § 41, stk. 3, omfatter sikring af, at uvedkommende ikke kan tilgå og anvende den personlige MobilRuden. Rudersdal Kommune er derfor heller ikke uenig i Datatilsynets opfattelse, hvorefter de fornødne sikkerhedsforanstaltninger, jf. § 41, stk. 3, omfatter mulighed for borgerne for at spærre for den omhandlede mobile adgang.

Rudersdal Kommune er derudover enig i, at der er behov for adgang til at spærre for den mobile adgang – også uden login med NemId. 

Kommunen har derfor tidligere i brev til Datatilsynet redegjort for muligheden på www.icloud.com og kan nu også redegøre for yderligere en løsning – NemStop.dk.

Rudersdal Kommune har oplyst, at NemStop.dk opfylder det behov, der opstår, når – som af Datatilsynet skitseret – en borger har mistet både den mobile enhed og nøglekortet, for en borger, som blot ikke er i nærheden af nøglekortet, samt for en borger, hvis NemID er spærret. Derudover kræver NemStop.dk ikke anvendelse af særlige operativsystemer og/eller funktioner men kan altså umiddelbart tilgås og spærres af brugere af MobilRuden til Android og iPhone. Nemstop.dk kræver ikke brug af nøglekort. 

Nemstop.dk giver derfor adgang til omgående spærring af den mobile adgang. Derudover henviser kommunen til sit svar af 23. december 2011 for yderligere tilfælde af adgang til spærring og sletning af mobil adgang i forskellige henseender, hvilke alle vil blokere for uvedkommendes adgang til MobilRuden.

Rudersdal Kommune har anført, at en blokering af adgangen – uanset metode – vil hindre uvedkommendes forsøg på at kompromittere og tilegne sig persondata. Denne sikkerhedsforanstaltning tilvejebragt af Rudersdal Kommune anser kommunen for fuldt ud tilstrækkelig i forhold til opfyldelse af sikkerhedskravene, jf. persondataloven § 41, stk. 3.

Det er endvidere oplyst, at NemStop.dk er en umiddelbar adgang til spærring, og på grund af login med brugernavn, selvvalgt kode og personnummer (hvilke er tre komponenter, den retmæssige bruger altid er i besiddelse af) sikres derudover, at kun den retmæssige bruger kan spærre den mobile adgang.

NemStop.dk er desuden hostet med overvågning døgnet rundt. Det er derfor Rudersdal Kommunes opfattelse, at NemStop.dk opfylder de krav for omgående spærring, som Datatilsynet efterspørger.

Kommunen har desuden henledt opmærksomheden på, at kombinationen af aktiveringskode, selvvalgt brugernavn og selvvalgt adgangskode er niveauet over en ren pinkodeløsning, og at personer, der uretmæssigt tilegner sig en given enhed – udover denne enhed – skal være i besiddelse af brugernavn, adgangskode samt en udgave af MobilRuden, der ikke er lukket ved én af nævnte foranstaltninger. En adgang, der er lukket, kan ikke åbnes igen uden genaktivering, hvilket kræver brug af NemID og adgang til Min Rude.

På denne baggrund er det stadig Rudersdal Kommunes opfattelse, at persondata nyder et tilstrækkeligt højt sikkerhedsniveau, og kommunen anser det for en misforståelse, at sikkerhedskravene ikke skulle være iagttaget ved login til NemPost via MobilRuden.

6.2. Gentofte Kommune har oplyst, at behovet for som borger at kunne spærre sine mobile adgangsmuligheder til de digitale selvbetjeningsløsninger helt selvfølgeligt indgår i den sikkerhedstænkning, der i Rudersdal og Gentofte kommuner indgår i alle digitale udviklingstiltag. 

Kommunerne har derfor sikret udvikling af en løsning, som giver mulighed for, at borgerne – 24/7 – kan spærre den mobile adgang – også til NemPost. 

Løsningen hedder NemStop.dk og fungerer således, at den kan tilgås fra enhver internetforbindelse døgnet rundt. Brugeren – eller den han bemyndiger hertil – har her mulighed for via brugernavn, password og cpr-nr. at spærre den mobile adgang. 

Gentofte Kommune har anført, at de kommuner, hvor borgerne har mobil adgang til NemPost kombineret med NemStop-løsningen, således kan sikre, at borgerne kan spærre for den mobile adgang til selvbetjeningsløsningen uden at have adgang til denne. 

Gentofte Kommune oplyser i øvrigt, at alle brugere af NemPost i Gentofte Kommune skal logge på med NemID.

7. Datatilsynet har noteret sig det af Rudersdal Kommune og Gentofte Kommune oplyste og foretager sig herefter ikke yderligere i sagen.

Datatilsynet må forbeholde sig sin stilling, hvis der i relation til persondataloven skulle vise sig uhensigtsmæssigheder ved brugen af den skitserede sikkerhedsløsning.

Tilsynet skal for god ordens skyld oplyse, at dette brev forventes offentliggjort på tilsynets hjemmeside. 

¹ Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

² Datatilsynet nævnte som eksempler herpå tilfælde, hvor borgere – f.eks. ved et tyveri – har mistet både deres mobile enhed og deres nøglekort til NemID, tilfælde hvor borgere ikke er i nærheden af deres nøglekort, når de mister deres enhed (f.eks. i forbindelse med rejser o.lign.), samt tilfælde hvor borgeres NemID er spærret

³ Jf. Datatilsynets j.nr. 2010-631-0114

⁴ Som følsomme personoplysninger regnes oplysninger omfattet af persondatalovens § 7 og § 8 – dvs. oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige, seksuelle og strafbare forhold, væsentlige sociale problemer og andre rent private forhold

⁵ https://www.nemid.nu/digital_signatur/oces-standarden/oces-certifikatpolitikker/POCES_Certifikatpolitik_version_4.pdf - se afsnit 7.3.6 om certifikatspærring

Siden er Datatilsynet via medierne blevet bekendt med, at Rudersdal Kommune har forladt brugen af NemID i løsningen. Det fremgår således af en artikel på DR nyheder den 3. november 2011¹ , at der har været højlydte protester over, at det er blevet for besværligt at logge sig på SkoleIntra, samt at dette har fået Rudersdal til at gå tilbage til at bruge pinkoder som adgang fra den 1. december 2012.

I den anledning afgiver Datatilsynet følgende vejledende udtalelse:

1. I forhold til digitale løsninger har tilsynet i forskellige sammenhænge anbefalet brug af digital signatur eller anden to faktor-løsning frem for adgangskode i forbindelse med adgang til myndigheders systemer med følsomme personoplysninger via internet. Der henvises til Datatilsynets hjemmesidetekst ”Transmission af personoplysninger over internettet”²  samt de retningslinjer, der følger af tilsynets udtalelse til Københavns Kommune og Cap Gemini af 7. september 2000³ , der også henvises til i hjemmesideteksten. 

Datatilsynet kan endvidere henvise til sin udtalelse af 29. november 2011 til Rudersdal Kommune⁴ , hvori tilsynet har gennemgået de omtalte retningslinjer af 7. september 2000. 

Ved vurderingen af, om der er behov for en ekstra sikkerhedsfaktor – ud over brugernavn og adgangskode – må kommunen efter Datatilsynets opfattelse tage karakteren af de oplysninger, der håndteres i løsningen, i betragtning. Herunder om der er tale om en løsning, der må forventes løbende at skulle håndtere følsomme personoplysninger, eller en løsning, hvor oplysninger af følsom karakter ikke er det typiske, men kun optræder tilfældigt og i meget begrænset omfang. Det kan evt. indgå i vurderingen, om der løbende sker sletning, således at e-mail og dokumenter med følsomme personoplysninger ikke gemmes i over en måned. 

Datatilsynet skal understrege, at ansvaret for, at sikkerheden i de løsninger, der anvendes, er tilstrækkelig, påhviler Rudersdal Kommune. 

For god ordens skyld skal Datatilsynet endvidere bemærke, at Rudersdal Kommune i forbindelse med indretningen af digitale løsninger også skal leve op til almindelige forvaltningsretlige regler og grundsætninger. Der henvises til de udtalelser herom, som Folketingets Ombudsmand er fremkommet med. Eksempelvis Folketingets Ombudsmands nyhed af 21. december 2011⁵ , hvor det bl.a. udtales: ”Myndighederne kan ikke uden videre kræve at borgerne skriver elektronisk til dem. Kun hvis det står i loven.” 

I den forbindelse må Rudersdal Kommune tage i betragtning, at ikke alle borgere har en NemID og ej heller har pligt til at have en sådan. 

2. Rudersdal Kommune har i sagen påpeget, at tilsynet i flere sager har bedt kommunen om redegørelser for dens overholdelse af persondataloven. Kommunen finder det i den forbindelse utilfredsstillende, at kommunen ikke har fået svar på forespørgslen i denne sag, men i stedet blot løbende er blevet orienteret om tilsynets travlhed.

Datatilsynet er nødt til løbende at prioritere behandlingen af sine sager. Desværre vil der derfor være længere sagsbehandlingstid end ønskeligt ved visse typer sager. I forhold til en igangværende løsning kan der være anledning til for tilsynet at stille spørgsmål til sikkerheden. Det var f.eks. tilfældet med spørgsmålet om borgernes muligheder for at spærre den mobile adgang til NemPost (via MobilRuden). Dette vil i visse tilfælde kunne forlænge sagsbehandlingstiden for andre typer sager.
   
Det skal for en god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.

¹ http://www.dr.dk/P4/Kbh/Nyheder/Rudersdal/2011/11/03/071408.htm

² http://www.datatilsynet.dk/offentlig/sikkerhed/transmission-over-internettet/

³ Udtalelse vedrørende elektronisk borgerservice til Københavns Kommune: http://www.datatilsynet.dk/index.php?id=325&tx_ttnews[tt_news]=11&no_cache=1

⁴ Jf. Datatilsynets j.nr. 2011-323-0268. Tilsynets udtalelse i sagen er  tilgængelig her: http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/borgeradgang-til-mobil-udgave-af-rudersdal-kommunes-selvbetjeningsloesning^/

⁵ http://www.ombudsmanden.dk/find/nyheder/alle/gammeldags_vis/pdf 
- se også:
 www.ombudsmanden.dk/om/formidling_og_viden/publikationer/notater/
forvaltningsretlige_krav_til_det_offentliges_it/

Datatilsynet udfærdigede i forbindelse med inspektionen en rapport, som Tranemosegård afd. 13 har fået forelagt og ikke har haft bemærkninger til.

Datatilsynet skal hermed sammenfatte de væsentligste problemstillinger vedrørende persondataloven:

1. Kameraernes placering 
Boligorganisationen oplyste, at man er opmærksom på kameravinklerne og har gennemtænkt, hvilke steder der er behov for overvågning. 

Det aftaltes under inspektionen, at kameraerne i den ene besigtigede opgang drejes, så området umiddelbart uden for beboernes døre ikke bliver overvåget, således at beboerne kan komme og gå fra deres bolig uden at blive overvåget.

Datatilsynet har endvidere noteret sig, at der 4 steder foretages maskning med privacy-zoner ved beboernes indgangsdøre.

2. Sletning efter senest 30 dage
Datatilsynet konstaterede under inspektionen, at der på et gammelt system fandtes optagelser, som var ca. 90 dage gamle.

Datatilsynet finder det kritisabelt, at optagelser har været opbevaret i over 30 dage i strid med persondataloven. 

Datatilsynet anmoder hermed Tranemosegård afd. 13 om at oplyse, hvad organisationen efter inspektionen har gjort for at indrette sletterutinerne på det omhandlede system, således at persondatalovens slettefrist overholdes. 

3.  Information til beboere og medarbejdere mv.
Nye beboerne har kun fået information om tv-overvågning via skiltning.

Boligorganisationen vil oplyse alle (nye) beboere om, at der foretages tv-overvågning samt formålet hermed f.eks. i husordenen. 

Medarbejdere og andre med fast gang i de overvågede områder har ikke fået skriftlig information i forbindelse med ansættelse. 

Boligorganisationen vil sikre sig, at der gives information til alle personer, der kommer fast i lokalerne, om, at der foretages tv-overvågning samt formålet hermed. 

Datatilsynet skal understrege, at Tranemosegård afd. 13 som ansvarlig for tv-overvågningen skal leve op til såvel oplysningspligten efter persondataloven som skiltningskravet i lov om tv-overvågning.

Datatilsynet har noteret sig, at det under inspektionen oplyste om, at Tranemosegård afd. 13 vil sikre sig, at der gives information til alle personer, der kommer fast i lokalerne, om, at der foretages tv-overvågning samt formålet hermed, samt at boligorganisationen vil oplyse alle (nye) beboere om, at der foretages tv-overvågning samt formålet hermed. 

4. Skiltning
Under besigtigelsen påtalte Datatilsynet, at der er manglende skiltning flere steder, og gjorde opmærksom på skiltningskravet i lov om tv-overvågning.

Under inspektionen understregede Datatilsynet endvidere, at skiltningen skal være tydelig, og fandt, at de anvendte skilte skulle have større piktogrammer.  

5. Datasikkerhed
Datatilsynet udleverede kopi af hjemmesidetekst om sikkerhed i forbindelse med tv-overvågning. Tilsynet opfordrer generelt såvel private som offentlige dataansvarlige til at beskrive sikkerheden omkring optagelserne. 

Datatilsynet har også udformet en skabelon til et skema om tv-overvågning. Med udgangspunkt heri kan dataansvarlige selv beskrive deres politik og procedurer for tv-overvågning.

Datatilsynet konstaterede under inspektionen, at Tranemosegård afd. 13 har udformet etiske regler omkring tv-overvågning, og at disse indeholder nogle af de elementer, der fremgår af Datatilsynets skabelon. Der er desuden fastsat retningslinjer, som er tilgængelige for medarbejderne. 

Datatilsynet finder, at Tranemosegård afd. 13 bør udforme en sikkerhedspolitik, der som minimum indeholder de emner, som fremgår af Datatilsynets skabelon. 

Vedrørende den verserende klagesag
Datatilsynet har som bekendt en klagesag under behandling vedrørende tv-overvågningen i Tranemosegård afd. 13.

Datatilsynet skal for god ordens skyld understrege, at der ved inspektionen ikke er taget stilling til det spørgsmål om anvendelse af optagelser fra tv-overvågningen ved alvorlige og/eller gentagne overtrædelser af boligafdelingens husorden, som er rejst i klagesagen. 

Datatilsynet kan til orientering oplyse, at tilsynet fortsat behandler klagesagen. Datatilsynet finder, at det rejste spørgsmål skal vurderes i sammenhæng med tilsvarende spørgsmål i forbindelse med inspektioner hos boligforeninger, som tilsynet foretager i første halvår af 2012. 

Afsluttende bemærkninger
Datatilsynet afventer tilbagemelding vedrørende sletterutinerne omtalt i punkt 2. 

Datatilsynet skal for god ordens skyld oplyse, at dette brev forventes offentliggjort på tilsynets hjemmeside.

1.

Samlet set finder Datatilsynet KL's håndtering af personoplysningerne i køreprøvesystemet meget kritisabel. Tilsynet skal herved navnlig fremhæve følgende forhold:

• KL handlede som dataansvarlig uden at være berettiget dertil.
• Persondatalovens krav om, at oplysninger skal beskyttes med de fornødne sikkerhedsforanstaltninger, blev ikke iagttaget. En opsætningsfejl indebar, at kørelærere, der loggede på systemet i visse perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever.
• KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.
• KL's begrundelse om, at data ikke har været behandlet uden for EU, er ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.

Datatilsynet finder, at der er behov for, at KL indhenter en revisionserklæring fra en uafhængig tredjepart med henblik på at få bekræftet, at oplysningerne fra kommunernes system er blevet slettet uigenkaldeligt i den anvendte cloud-løsning. Tilsynet har herved lagt vægt på, at der er tale om, at personoplysninger - bl.a. omfattende private og fortrolige oplysninger - er overført uden om de dataansvarlige kommuner og uden databehandleraftale.

En detaljeret gennemgang af sagen følger nedenfor.

2. Sagsfremstilling

2.1 På baggrund af en henvendelse fra Dansk Kørelærer-Union blev Datatilsynet i april måned 2011 opmærksom på, at der har været en sikkerhedsbrist i et køreprøvesystem.

Ved breve af 27. maj og 19. september 2011 er KL efter anmodning fra Datatilsynet fremkommet med udtalelser til sagen.

2.2. Dataansvaret i forbindelse med overførslen til cloud-løsningen
KL har oplyst, at KL i praksis på kommunernes vegne varetager "ejerrollen" for bookingsystemet. I det daglige foregår det i samarbejde med brugerne af systemet, dvs. kommunerne, politiet og kørelærerne, repræsenteret ved DKU (Dansk Kørelærer-Union), hvor KL forsøger at tilgodese de forskellige behov og ønsker fra brugerne for at sikre en løsning, der afspejler brugernes behov.

KL har oplyst, at beslutningen om at afprøve en cloud-løsning er truffet af KL, der i praksis har ageret som dataansvarlig, selvom det af fællesanmeldelsen fremgår, at kommunerne er dataansvarlige.

KL har videre oplyst, at beslutningen blev truffet på baggrund af en længere periode med kapacitetsproblemer i det eksisterende setup. På trods af en løbende udvikling og optimering af løsningen, har der i lange perioder været svartidsproblemer i løsningen. Undersøgelsen af mulighederne i en cloud-baseret drift var dels et forsøg på at optimere svartiderne for alle brugere (kørelærere, politi og kommuner), dels et forsøg på at etablere en billigere og mere effektiv drift af løsningen. Her tilbyder cloud-drift et muligt svar på begge udfordringer.

KL har oplyst, at KL tilstræber, at bookingløsningen i størst muligt omfang kan løse de forretningsmæssige behov hos alle brugere.

KL har videre oplyst, at KL vil tage skridt til at indgå en aftale om, hvilken rolle KL skal spille i forhold til kommunernes opgaver som dataansvarlige.

2.3. Oplysningernes karakter og antallet af personer
KL har oplyst, at booking-systemet indeholder oplysninger om de personer (cpr-nummer), der ønsker at erhverve kørekort. Cpr-nummer anvendes til at sikre, at den person, der har bestilt en prøve, overholder de aldersmæssige betingelser for at gå til en prøve, og til at sikre, at den person, der tager prøven, er den person, der skal have kørekortet. Denne godkendelse sker analogt, når prøven afholdes ved, at politiet (der afholder prøven) tjekker identiteten på aspiranten og sikrer, at aspiranten er den person, der er godkendt til prøven. Det sker analogt vha. et foto, som lægen (der udsteder lægeattesten) har kontrolleret og skrevet cpr-nummer bag på.

Kørekort-systemet indeholder oplysninger (navn, cvr-nummer, cpr-nummer og e-mailadresse) om kørelærere, der overføres fra Miljøportalen. Disse oplysninger kan tilgås af politiet, så det er muligt direkte at kontakte kørelærerne, når der er behov for at sende information om f.eks. aflyste prøver pga. vejrlig. Systemet indeholder ingen oplysninger om betalingskort.

KL har videre oplyst, at systemet pt. indeholder oplysninger om alle elever, der har fået kørekort i den periode, systemet har været i drift. Det er kørelærerne, der opretter eleverne i systemet. Systemet giver mulighed for at indberette cpr-nummer og navn (tvungen), men indberetning af adresse og tlf.nr. er frivillig. Oftest har kørelærere disse oplysninger i egne systemer. 

Systemet indeholder oplysninger om aktive elever. Oplysninger om færdige/ikke-aktive elever gemmes i et arkiv. Elevoplysninger kan arkiveres af kørelærerne, når elevforholdet er overstået. Når oplysninger er arkiverede, kan de kun tilgås ved en søgning på cpr-nummer. Dvs. at hvis man forsøger at oprette samme cpr-nummer, vil oplysningerne blive hentet fra arkivet. Der kan ikke udskrives elevlister fra arkivet.

KL har videre oplyst, at der er påbegyndt en analyse med henblik på at slette oplysninger, der ikke længere er relevante. Elever/spiranter kan være oprettede og aktive i systemet i en lang periode. I princippet indtil de er færdige med en prøve. Dels er der elever, der er lang tid om at gennemgå prøveforløbet, dels er der elever, der oprettes, men ikke (aldrig?) bliver færdige. Analysen skal vurdere, hvornår aspirantoplysninger ikke længere er relevante og derefter kan slettes automatisk. Udfordringen er at kunne skelne mellem "færdige" elever/aspiranter og elever/aspiranter, der blot er lang tid om at komme igennem prøveforløbet. Da systemet leverer data til Rigspolitiet til statistik-formål og på opfordring til SKAT til kontrolformål, skal det sikres, at de statistikrelevante data bibeholdes i systemet, når de personlige data slettes.

Antallet af kørelærerprofiler tilsluttet løsningen er ca. 2.500. Heraf er der en del med mere end én profil, fordi de er tilknyttede flere køreskoler. Der er ca. 700 profiler på ansatte i politiet og ca. 1.300 profiler på ansatte i kommunerne. Antallet af elever/aspiranter er ca. 80.000 årligt.

Systemet har været i drift siden april 2007. Politiet indberetter oplysninger om bestået/ikke-bestået, hvorefter kommunen (i tilfælde af "bestået") indberetter oplysningerne til politiets kørekortregister, der efterfølgende fremsender kørekort til aspiranten. Sletteprocedurer er pt. ved at blive testet. Sletningsperioden er fastlagt til 18 måneder efter oprettelse i systemet for at sikre, at aktive elever ikke slettes utilsigtet. En procedure, der sletter data efter bestået prøve, vil ikke være hensigtsmæssig, da et betydeligt antal aspiranter tager mere end én prøve (f.eks. bil og motorcykel eller lastbil og hænger) på samme lægeattest, førstehjælpskursus m.v. De 18 måneder vurderes som værende hensigts-mæssige i forhold til varighed af lægeerklæring og gyldighedsperiode for bestået teoriprøve.

KL har endvidere oplyst, at det hidtil har været praksis at opbevare alle data vedrørende aspiranten i systemet. Statistikudtræk til SKAT indeholder cpr-numre på aspiranterne på SKAT's anmodning. Statistikudtræk til politiet er uden personhenførbare oplysninger om elever. SKAT anmoder løbende om oplysninger fra booking-systemet til virksomhedskontrol af køretøjer. Hjemlen til udlevering af oplysningerne findes i momslovens § 76, stk. 1, og/eller skattekontrollovens § 8 D. Det er den enkelte skatteregion, der fastlægger kontrolområder og anmoder om specifikke udtræk af virksomheder (køreskoler) baseret på adresser og CVR-oplysninger om virksomheder inden for den enkelte region og evt. cpr-nummer på aspiranter. 

2.4. Anmeldelse til Datatilsynet
KL har oplyst, at KL ikke har været opmærksom på manglerne i anmeldelsen til Datatilsynet, der blev foretaget, da kommunerne overtog opgaven med administration af kørekort og prøvetilmeldingen. KL vil snarest revidere fællesanmeldelse med hensyn til angivelsen af databehandler og de øvrige forhold, Datatilsynet har påpeget.

KL har oplyst, at det, siden systemet er taget i brug, har været NNIT A/S, der står for såvel drift som udvikling af løsningen, men Kommuneinformation A/S har stået for brugersupporten i det meste af perioden. I starten var det også NNIT A/S, der løste denne opgave.

2.5. Håndtering af persondatalovens og sikkerhedsbekendtgørelsens krav om datahandleraftale
KL har oplyst, at en del af løsningen i en kort periode har været i drift på Microsoft Azure i Irland. Der har ikke været indgået databehandleraftaler med de relevante leverandører. Et beklageligt forhold, der er ved at blive rettet. Microsoft Azure anvendes ikke længere. Ved en evt. senere overgang til cloud-løsning vil en passende databehandleraftale blive udarbejdet.

2.6. Overførsel af personoplysninger til tredjelande
KL har indhentet opklarende information fra Microsoft vedrørende den anvendte løsning. Microsoft har bl.a. oplyst, at den anvendte løsning lader det være kundens/systemudviklerens valg at beslutte den geografiske placering af data. Under den antagelse, at KL i samarbejde med systemudvikleren (NNIT) har valgt at anvende Microsoft's data center i Irland, gælder det således, at alle data herun-der også personoplysninger er blevet opbevaret i Irland og således indenfor EU. I det begrænsede omfang, at driften af Microsoft Windows Azure nødvendiggør, at specifikke data er tilgængelige fra Microsoft Corporation beliggende i USA, henviser Microsoft til, at Microsoft Corporation er underlagt Safe Harbor.

KL har udtalt, at idet data ikke har været behandlet udenfor EU, er persondatalovens § 27 ikke blevet iagttaget.

Det er KL's opfattelse, at data behandlet hos Azure reelt har været opbevaret og behandlet under tilstrækkeligt sikre forhold, men KL beklager den manglende anmeldelse af forholdet til Datatilsynet.

2.7. Sletning hos Microsoft
KL har oplyst, at det er KL's vurdering, at Microsofts politik for sletning af data er tilstrækkelig. Det er KL's vurdering, at denne politik reelt sikrer, at data slettes, når brugeren af systemet sletter data. Muligheden for som bruger reelt at kontrollere dette er ikke anderledes end hos enhver anden ekstern leverandør af datadrift og -opbevaring.

KL har henvist til Microsofts beskrivelse af processen omkring sletning af data. Heraf fremgår bl.a., at alle henvisninger til de omhandlede data fjernes ved en sletning, samt at de fysiske bits bliver overskrevet, når lagerenheden bliver anvendt til lagring af andre data, som det er typisk med standard computer harddiske. 

KL har anført, at organisationen har samme grad af sikkerhed for, at data er slettede, som hos andre eksterne leverandører af IT-drift og services. Men et fysisk bevis for forholdet kan ikke etableres.

2.8. Sikkerhedsbristen
KL har oplyst, at der i forbindelse med omlægningen af driften skete en fejl i opsætningen, så kørelærerne fik adgang til oplysninger om andre kørelærere. Det er beklageligt og er efterfølgende rettet så hurtigt som muligt.

KL har oplyst, at det er KL's og NNIT A/S' opfattelse, at den opståede akutte sikkerhedsbrist alene skyldes fejl i omlæggelse af driften og ikke som sådan kan tilskrives manglende sikkerhed på en cloud-platform. En flytning til en anden traditionel platform kunne have givet samme problemer. Uanset årsagen til de opståede problemer, beklager KL de uhensigtsmæssigheder, forsøget på at omlægge driften har haft for brugerne.

KL har oplyst, at der ikke er indberettet fejl fra andre brugere end kørelærerne, der i perioder har haft adgang til andet end egne data. Pågældende kørelærere har så i perioder haft adgang til data om andre kørelærere og disses elever/aspiranter. Som ovenfor anført er der ca. 2.500 brugere med kørelærerprofil fordelt på antageligt 2.000 forskellige brugere.

KL har oplyst, at NNIT A/S, som varetager den praktiske drift af løsningen, bl.a. har forklaret, at der var tale om såkaldt session take-over. Der er ifølge oplysninger fra Kommuneinformation A/S, der varetager 1. level support, tale om, at tre kørelærere har haft adgang med session take-over på nærmere angivne tidspunkter. Navne og brugernavne på kørelærerne er kendt for KL.

KL har endvidere beskrevet overfor tilsynet, hvordan brugeradgangen er tilrettelagt under normale omstændigheder, samt hvilke systemer og køreprøvesystemet integrerer med. Ifølge KL har der ikke været mulighed for, at uvedkommende har haft adgang til CPR eller andre kommunale systemer med oplysninger fra CPR.

Den skete fejl betød, at brugere, der er logget på systemet i enkelte perioder, har "overtaget" andre samtidige brugeres rettigheder, herunder adgang til brugers data. Der har derfor været tilfælde, hvor brugere uberettiget har haft adgang til tilfældige, andre samtidige brugeres data. Der er ikke tale om, at samtlige oplysninger har været tilgængelige for alle brugere, men brugere har uretmæssigt haft adgang til en tilfældig anden brugers data. 

2.9. Gennemgang af loggen
KL har oplyst, at sammenhængen mellem bruger og rolle i sessionen ikke er kompromitteret, og dermed opfatter systemet ikke dette som fejl, og data vises for den givne rolle som specificeret. Dette forhold gør, at der ikke er informationer i loggen, der afslører, at en given bruger har overtaget en anden brugers session.

KL har oplyst, at der intet er, der tyder på, at de brugerprofiler, der har været logget på i perioden med fejl, har udvist unormal adfærd.

2.10. Underretning af de berørte personer
KL har oplyst, at det primært var oplysninger om kørelærere, der var kompromitterede i en kort periode. På baggrund af de indkomne fejlmeldinger og de efterfølgende analyser er det ikke KL's opfattelse, at der har været misbrug af oplysninger. Fejlen betød, at enkelte kørelærere i perioder har haft adgang til oplysninger om andre kørelærere og deres elever. En fejl, KL vil søge at sikre ikke gentager sig.

KL har oplyst, at systemet er bygget og i dag anvendes således, at den enkelte elevs data oftest er tilgængelige for flere (alle) kørelærere i samme skole. De kørelærere, der har direkte kontakt med eleven, må antages at være "vedkommende", mens køreskolens øvrige lærere er "uvedkommende". I praksis kan der ikke skelnes, og kørelærerne administrerer selv elevoplysningerne, så det er hensigtsmæssigt for såvel køreskole som elev.

KL har oplyst, at KL ikke har informeret de berørte om hændelsen men vil gøre det, når der er overblik over konsekvenserne, og årsagerne til det midlertidige nedbrug er klarlagt. Det er dog KL's opfattelse, at kørelærerne og deres fagforening(er) er vidende om problemet.

KL har siden nedbruddet i samarbejde med sin leverandør på området arbejdet på at forebygge nye nedbrud og samtidig øge hastighed og brugervenlighed på løsningen. Det er KL's vurdering, at der er overblik over konsekvenserne af nedbruddet, og at der ikke siden er sket yderligere brist udover de allerede kendte. Brugerne har ikke i den forløbne periode indberettet om gentagelse af hændelsen, ligesom KL ikke i den forløbne periode har konstateret nedbrud med sikkerhedsmæssige konsekvenser.

2.11. Forholdet til kommunerne
KL har oplyst, at det er KL's opfattelse, at de kommunale borgerserviceenheder er bekendt med den sikkerhedsbrist, der desværre opstod i forbindelse med omlægningen. 

KL har videre oplyst, at KL sammen med kommunerne vil overveje, i hvilket omfang der skal ske ændringer i beslutningsprocesserne vedrørende den fremtidige organisering og drift af systemet.

KL har videre oplyst, at KL ser frem til at finde en løsning, der fastlægger rollerne på en hensigtsmæssig måde og tager højde for, at kommunerne i fællesskab udvikler og drifter et system, der også anvendes af andre myndigheder og private virksomheder med egne ønsker til forretningslogik og systemanvendelse.

3. Datatilsynet skal herefter udtale følgende:

3.1. Dataansvaret i forbindelse med overførslen til cloud-løsningen
Datatilsynet lægger ud fra det i sagen oplyste til grund, at de enkelte kommuner er dataansvarlige for behandlingen af oplysninger i køreprøvesystemet, at beslutningen om at overføre oplysningerne fra køreprøvesystemet til cloud-løsningen Microsoft Azure blev truffet af KL, og at KL således har ageret som selvstændigt dataansvarlig i denne forbindelse.

Efter Datatilsynets opfattelse havde KL ikke hjemmel i persondataloven til at råde over personoplysningerne i køreprøvesystemet som dataansvarlig. Datatilsynet må således konstatere, at KL handlede som dataansvarlig uden at være berettiget dertil. 

Datatilsynet har herved lagt vægt på, at det er kommunerne og ikke KL, der varetager myndighedsopgaver omkring kørekort og prøvetilmelding, og derfor er berettiget til i nødvendigt omfang at behandle oplysninger om personerne i systemet. 

Datatilsynet har noteret sig det oplyste om, at KL sammen med kommunerne vil overveje, i hvilket omfang der skal ske ændringer i beslutningsprocesserne vedrørende den fremtidige organisering og drift af systemet.

3.2. Anmeldelse til Datatilsynet
Datatilsynet lægger til grund, at den kommunale fællesanmeldelse "Udstedelse af pas og kørekort" omfatter behandlingen af personoplysninger i forbindelse med køreprøvesystemet.¹

Datatilsynet lægger endvidere til grund, at hverken Microsoft eller NNIT A/S på noget tidspunkt har været anført som databehandler i denne fællesanmeldelse. Det har heller ikke været anført, at der kunne ske overførsel til et tredjeland.

Det fremgår af persondatalovens § 51, at ændringer i de i § 43, stk. 2, nævnte oplysninger forud for iværksættelsen skal anmeldes til tilsynet. Ændringer af mindre væsentlig betydning kan anmeldes efterfølgende, dog senest 4 uger efter iværksættelsen.

Datatilsynet må konstatere, at kommunerne/ KL ikke i overensstemmelse med persondatalovens § 51 har fremsendt de fornødne ændringer til fællesanmeldelsen "Udstedelse af pas og kørekort".

Datatilsynet har noteret sig det af KL oplyste om, at KL snarest vil revidere fællesanmeldelsen.

3.3. Sikkerhedsbristen
Datatilsynet lægger ud fra det i sagen oplyste til grund, at køreprøvesystemet for så vidt angår elever indeholder oplysninger om navn, adresse, personnummer samt beståede og ikke-beståede prøver, at systemet for så vidt angår kørelærere indeholder oplysninger om navn, telefonnummer, e-mailadresse og personnummer, at systemet indeholder oplysninger om alle elever, der har fået kørekort siden april 2007, hvor systemet blev sat i drift, at antallet af elever er ca. 80.000 årligt, samt at køreprøvesystemet indeholder oplysninger om ca. 2.000 kørelærere.

Datatilsynet lægger endvidere til grund, at der i forbindelse med omlægning af driften af systemet til en cloud-løsning skete en fejl i opsætningen, at denne fejl betød, at kørelærere, der loggede på systemet i enkelte perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever, samt at i hvert fald tre kørelærere som følge heraf har haft adgang til andre kørelæreres data.

Det fremgår af persondatalovens § 41, stk. 3, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

I det konkrete tilfælde, hvor personoplysninger som følge af en fejlopsætning har været tilgængelige for uvedkommende, finder Datatilsynet, at kravene om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, ikke har været opfyldt.

Datatilsynet har noteret sig det af KL oplyste om, at fejlen blev rettet så hurtigt som muligt, at KL har siden nedbruddet i samarbejde med sin leverandør har arbejdet på at forebygge nye nedbrud, og at det er KL's vurdering, at der er overblik over konsekvenserne af nedbruddet, og at der ikke siden er sket yderligere brist.

3.4. Håndtering af persondatalovens krav om databehandleraftale og tredjelandsoverførsler
3.4.1. Databehandleraftale
Datatilsynet lægger ud fra det i sagen oplyste til grund, at KL ikke havde indgået nogen databehandleraftale med Microsoft, og at der heller ikke er indgået databehandleraftaler mellem kommunerne og NNIT A/S.

Ifølge persondatalovens § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

Datatilsynet må konstatere, at KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.

Datatilsynet har noteret sig det af KL oplyste om, at der vil blive rettet op på forholdet vedrørende manglende databehandleraftale, og at der ved en eventuel senere overgang til en cloud-løsning vil blive udarbejdet en passende databehandleraftale. 

3.4.2. Overførsel af oplysninger til tredjelande
Persondatalovens § 27, stk. 1, indeholder særlige regler om overførsel af personoplysninger til tredjelande². Reglerne skal bl.a. iagttages, når personoplysninger flyttes til et datacenter i et tredjeland, eller hvis backup af data eller standby-beredskab, der f.eks. benyttes ved driftsproblemer i det eller de primære datacentre eller ved kapacitetsknaphed, sker i et tredjeland.

Den danske dataansvarlige må via aftalen med cloud-udbyderen sikre sig, at der kun sker tredjelandsoverførsel i det omfang, betingelserne i persondatalovens § 27 er opfyldt. 

Det kan f.eks. aftales, at der kun må ske overførsel til virksomheder i USA omfattet af den såkaldte Safe Harbor-ordning³. I så fald skal den dataansvarlige være opmærksom på, at opfyldelse af persondatalovens § 27 ved brug af Safe Harbor-ordningen ikke fritager den dataansvarlige fra at indgå databehandleraftaler efter persondatalovens § 42. 

En anden mulighed er, at den dataansvarlige sikrer sig, at der indgås en aftale, der svarer til Kommissionens standardkontrakt⁴ for overførsel til databehandlere i tredjelande. I så fald skal der indhentes tilladelse⁵ fra Datatilsynet efter persondatalovens § 27, stk. 4. 

Datatilsynet har noteret sig, at det er KL's opfattelse, at data behandlet hos Azure reelt har været opbevaret og behandlet under tilstrækkeligt sikre forhold, men at KL beklager den manglende anmeldelse af forholdet til Datatilsynet.

Datatilsynet må samtidig konstatere, at KL har udtalt, at idet data ikke har været behandlet udenfor EU, er persondatalovens § 27 ikke blevet iagttaget. 

På baggrund af de oplysninger fra Microsoft, som KL har refereret i sin udtalelse i sagen, må Datatilsynet imidlertid konstatere, at specifikke data kan have været tilgængelige fra Microsoft Corporation i USA, i det begrænsede omfang driften af Microsoft Windows Azure nødvendiggjorde dette.

KL's begrundelse om, at data ikke har været behandlet uden for EU, er således ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.

3.5. Sletning
Det følger persondatalovens § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Tilsynet har noteret sig det af KL oplyste om, at der nu er påbegyndt en analyse med henblik på at slette oplysninger, der ikke længere er relevante. 

I forhold til det oplyste om behovet for at opretholde registreringerne med henblik på at levere data til SKAT til kontrolformål eller statistik data til politiet, skal Datatilsynet understrege, at kommunernes fastlæggelse af sletterutiner i løsningen skal ske ud fra deres egne behov. At en anden myndighed - aktuelt SKAT - kunne tænkes at anmode om oplysninger, kan ikke i sig selv begrunde en opretholdelse af registreringerne, hvis kommunernes formål ikke nødvendiggør fortsat registrering. 

Hvis politiet eller SKAT har behov for oplysningerne i statistisk øjemed, må løsningen efter tilsynets umiddelbare vurdering være, at de nødvendige oplysninger videregives til politiet og SKAT med henblik på der at blive behandlet udelukkende i statistisk øjemed. Opretholdelse af kommunernes registreringer med henblik på en eventuel senere videregivelse til andre myndigheder til brug for statistik kan ikke ske, hvis kommunernes egne formål ikke nødvendiggør fortsat registrering. 

Med hensyn til sletningen af oplysningerne i Microsofts cloud-løsning må tilsynet på baggrund af sagens oplysninger lægge til grund, at der ved sletningen blev fjernet referencer til oplysningerne, hvorefter de fysiske bits forventes overskrevet ved den løbende brug af løsningen. 

På denne baggrund finder Datatilsynet, at der er behov for, at KL indhenter en revisionserklæring fra en uafhængig tredjepart med henblik på at få bekræftet, at oplysningerne fra kommunernes system er blevet slettet uigenkaldeligt i den anvendte cloud-løsning. Tilsynet har herved lagt vægt på, at der er tale om, at personoplysninger - bl.a. omfattende private og fortrolige oplysninger - er overført uden om de dataansvarlige kommuner og uden databehandleraftale.

3.6. Underretning af de berørte personer
Hvis personoplysninger som følge af en sikkerhedsbrist har været tilgængelige for uvedkommende, skal den dataansvarlige myndighed gøre, hvad den kan, for at begrænse skaden. Dette er efter Datatilsynets opfattelse også et led i det krav om god databehandlingsskik, der følger af persondatalovens § 5, stk. 1.⁶ Yderligere oplysninger findes i Datatilsynets hjemmesidetekst "Utilsigtet offentliggørelse på internettet"⁷.

Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist - afhængigt af de konkrete omstændigheder - følge af persondatalovens grundregel om god databehandlingsskik, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.

Hvordan underretningen mest hensigtsmæssigt foretages, må vurderes i forhold til den skete sikkerhedsbrist.⁸

Datatilsynet har noteret sig det af KL oplyste om, at organisationen vil underrette de berørte personer.

4. Datatilsynets konklusioner

Samlet set finder Datatilsynet KL's håndtering af personoplysningerne i køreprøvesystemet meget kritisabel. Tilsynet skal herved navnlig fremhæve følgende forhold:

• KL handlede som dataansvarlig uden at være berettiget dertil.
• Persondatalovens krav om, at oplysninger skal beskyttes med de fornødne sikkerhedsforanstaltninger, blev ikke iagttaget. En opsætningsfejl indebar, at kørelærere, der loggede på systemet i visse perioder, overtog andre samtidige brugeres rettigheder, herunder adgang til oplysninger om de andre kørelærere og disses elever.
• KL overførte køreprøvesystemet til en cloud-løsning uden at leve op til persondatalovens krav om en skriftlig databehandleraftale.
• KL's begrundelse om, at data ikke har været behandlet uden for EU, er ikke tilstrækkelig. Der kan være sket overførsel til Microsoft Corporation i USA. I givet fald var overførslen til USA dog ikke i strid med persondatalovens tredjelandsregler, da Microsoft Corporation er underlagt Safe Harbor-ordningen.

5. Afsluttende bemærkninger

Datatilsynet skal anmode om at modtage underretning om, hvad KL herefter foretager sig med henblik på sikring af, at sletning er sket i cloud-løsningen. 

Datatilsynet skal for god ordens skyld gøre opmærksom på, at tilsynet forventer at offentliggøre dette brev på tilsynets hjemmeside.

¹ KL har tidligere fremsendt ændringer til denne fællesanmeldelse, jf. KL's henvendelse til Datatilsynet af 6. oktober 2008 (vedrørende videregivelse til politiet)

² Ved "tredjeland" forstås ifølge persondatalovens § 3, nr. 9, en stat, som ikke indgår i EU, og som ikke har gennemført aftaler, der er indgået med EU, og som indeholder regler svarende til persondatadirektivet

³ Hvis man baserer sig på Safe Harbor-ordningen som grundlag for tredjelandsoverførslen, er der ikke krav om tilladelse fra Datatilsynet efter persondatalovens § 27. Private virksomheder skal imidlertid have tilladelse fra tilsynet efter lovens § 50, hvis de overfører følsomme personoplysninger

⁴ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DA:PDF

⁵ Se nærmere på tilsynets hjemmeside: eu-standardkontrakter

⁶ Det følger af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt

⁷ Yderligere oplysninger findes i informationsteksten "Utilsigtet offentliggørelse på internettet" på Datatilsynets hjemmeside, som er tilgængelig via følgende link: utilsigtet offentliggørelse

⁸ På Datatilsynets hjemmeside er en del praksis omkring dette, herunder såvel tilfælde, hvor underretning skulle ske individuelt, som tilfælde, hvor underretning kunne ske via medierne og myndighedens hjemmeside eller helt undlades

Datatilsynets konklusioner – som foreligger efter behandling i Datarådet – sammenfattes nedenfor under pkt. 3.  

Datatilsynet har endvidere udarbejdet konkrete eksempler til illustration af den omhandlede problemstilling. Eksemplerne vedlægges som bilag 1. En nærmere gennemgang af persondatalovens regler vedlægges som bilag 2.

2. Indledningsvis bemærkes, at brug af NemID som log-in blot er ét element i den samlede beskyttelse, som kommunerne som dataansvarlige myndigheder skal sørge for, er på plads. I det følgende fokuseres på brug af medarbejderes private NemID som en komponent i den samlede sikkerhedsløsning.
 
Det lægges herved til grund, at kommunerne har foretaget en risikovurdering omfattende alle elementer i løsningen og implementerer de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici.

Det lægges bl.a. til grund, at kommunerne supplerer brugen af medarbejderes private NemID med foranstaltninger, der gør, at medarbejderes autorisation og adgange kan styres alt efter deres stillinger og opgaver i kommunen, herunder at der sker tjek i kommunens Active Directory (AD).

3. Datatilsynets konklusioner

3.1. Brug af medarbejderes private NemID som log-in

• Medarbejderes private NemID kan anvendes ved log-in som alternativ til en adgang med brugernavn og adgangskode under følgende forudsætninger: 
  

  - Der må alene være tale om adgang til oplysninger, som hverken er af følsom eller fortrolig karakter, og:

  - brug af den private NemID skal være et frivilligt tilbud for medarbejderne

Datatilsynet finder, at denne mulighed kan accepteres for at tilgodese hensynet til de medarbejdere, der ønsker en fleksibel adgang til f.eks. at logge på hjemmefra, og i de omhandlede tilfælde taler oplysningernes karakter ikke imod dette.

• Medarbejderes private NemID kan ikke anvendes som log-in til fortrolige og følsomme personoplysninger i kommunens it-systemer, eller
• hvis der stilles krav om, at medarbejdere skal bruge deres private 
  NemID i løsningen af deres arbejdsopgaver.

På grund af risiko for eksponering af personoplysninger – såvel medarbejderens personlige oplysninger som oplysningerne om borgerne i kommunens systemer – er det således Datatilsynets opfattelse, at det under disse omstændigheder ikke vil være i overensstemmelse med persondatalovens sikkerhedskrav, hvis kommuner anvender medarbejderes private NemID som log-in.

Datatilsynet har herved lagt vægt på, at når en autentifikationsmekanisme har til formål at forhindre, at persondata kommer til uvedkommendes kendskab, er det den dataansvarlige, der skal sikre de fornødne organisatoriske og tekniske sikkerhedsforanstaltninger omkring denne autentifikationsmekanisme.

Det bemærkes herved, at kommunen ikke har instruktionsbeføjelser i forhold til medarbejderes private brug af NemID. Kommunen kan derfor ikke i tilstrækkeligt omfang stille krav om, hvordan medarbejdere skal beskytte deres NemID.

Hertil kommer hensynet til medarbejderes mulighed for selv at kunne kontrollere sikkerheden på den computer og i det miljø, hvor de anvender deres private NemID – herunder muligheden for at undlade at benytte deres NemID under de givne forhold. Medarbejdere har som indehavere af en privat Nem-ID – der giver adgang til både deres private netbank og fortrolige og følsomme oplysninger om dem hos myndigheder mv. – selv et ansvar for at beskytte deres NemID¹. 

3.2 Brug af medarbejderes private NemID som en ekstra faktor på lige fod med en token

• Den private NemID kan anvendes som ekstra faktor, f.eks. når en sådan er påkrævet ved log-in til registre med følsomme personoplysninger via internet under følgende forudsætninger:
 

- den dataansvarlige myndighed skal sikre, at behandlingen af personoplysninger via den omhandlede adgang i det hele lever op til sikkerhedsbekendtgørelsen² , jf. nærmere nedenfor  

- brug af den private NemID til log-in skal være et frivilligt tilbud.

Med hensyn til sikkerhedsbekendtgørelsens krav skal Datatilsynet navnlig fremhæve følgende:

- forpligtelsen til at fastsætte nærmere retningslinjer, der uddyber, hvordan de fornødne sikkerhedsforanstaltninger konkret er etableret i organisationen  

- kravet om instruktion af medarbejderne  

- kravet om skriftlige aftaler med eventuelle databehandlere til sikring af, at datasikkerheden lever op til persondataloven og sikkerhedsbekendtgørelsen, samt at den dataansvarlige påser dett  

- kravet om særlige retningslinjer ved adgang ved brug af it-udstyr uden for den dataansvarliges lokaliteter (hjemmearbejdspladser o.l)  

- kravet om fysisk sikkerhed  

- iagttagelse af de fornødne sikkerhedsforanstaltninger i forbindelse med reparation og service samt ved salg og kassation af anvendte datamedier  

- kravet om en formel autorisationsprocedure, der sikrer, at kun personer, som autoriseres hertil, har adgang til personoplysninger, og at der kun autoriseres personer, for hvem adgangen er nødvendig som led i deres jobfunktion, at disse tildeles et individuelt personligt log-in, og den udstedte autorisation ændres eller lukkes ved medarbejderens fratræden eller flytning inden for organisationen  

- kravet om, at der ved transmission via internettet (eller andre åbne net) foretages en risikovurdering omfattende alle elementer i løsningen, at der implementeres de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici, herunder brug af kryptering, hvis fortrolige eller følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger  

- kontrol med afviste adgangsforsøg, herunder blokering for yderligere forsøg efter et antal afviste adgangsforsøg  

- registrering (logning) af alle anvendelser af personoplysninger.
  

4. Datatilsynet vil generelt anbefale, at medarbejdersignatur og andre alternative log-in løsninger benyttes, hvor dette er muligt. Datatilsynet henviser samtidig til, at Digitaliseringsstyrelsen i forbindelse med sagens behandling har oplyst, at det er styrelsens generelle anbefaling, at myndigheder og virksomheder anvender medarbejdersignatur, når medarbejdere skal identificere sig og agere på vegne af virksomheden.

5. Sagen giver i øvrigt anledning til at minde om Datatilsynets generelle anbefalinger vedrørende hjemmearbejdspladser:

-  Fortrolige og følsomme personoplysninger må ikke behandles på medarbejderes private computere. Hvis sådan behandling undtagelsesvist skal ske, bør der foreligge en aftale mellem myndigheden og den ansatte herom, og myndigheden skal konkret have sikret sig, at beskyttelsen af personoplysninger er tilstrækkelig.

Datatilsynet henviser i den forbindelse til sikkerhedsvejledningen og forudsætter, at kommunerne foretager en risikovurdering af den samlede løsning, som også omfatter vurdering af de computere, der anvendes til fjernopkobling, samt at kommunerne fastsætter nærmere retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for kommunens lokaliteter.

6. Datatilsynet kan konstatere, at nogle kommuner allerede anvender medarbejderes private NemID i log-in procedurer, som ikke er i overensstemmelse med de ovenfor anførte konklusioner.

Datatilsynet finder, at de pågældende kommuner snarest må ændre log-in procedurerne, således at log-in sker i overensstemmelse med persondataloven.

Kopi af dette brev sendes til de kommuner, som Datatilsynet har modtaget oplysninger fra i forbindelse med behandlingen af nærværende sag, og brevet offentliggøres også på tilsynets hjemmeside³.

Bilag 1: 6 konkrete eksempler på brug af medarbejdernes private NemID
Bilag 2: Gennemgang af relevante regler i persondataloven

Bilag 1: Konkrete eksempler på brug af medarbejdernes private
NemID i log-in procedurer i kommuner

Eksempel 1
Kommune A har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker mv. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger.

Af hensyn til kommunens og medarbejdernes behov for fleksibilitet ønsker kommunen at give alle medarbejdere mulighed for at foretage log-in til portalen, også med NemID.

Kommunen vurderer, at løsningen ikke udgør en sikkerhedsmæssig risiko. De har styr på, hvem der arbejder i kommunen ved registreringer i Active Directory (AD).

Medarbejderne vælger selv, om de vil bruge muligheden for at logge ind med deres private NemID.
 
Den påtænkte løsning med brug af medarbejdernes private NemID er i overensstemmelse med persondataloven, idet log-in ikke giver adgang til fortrolige og/eller følsomme oplysninger og ikke er påtvunget medarbejderne.

Eksempel 2
Kommune B har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker m.v. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger. 

Kommunen ønsker at oprette et system på portalen, hvor den enkelte medarbejder skal indberette ferie, kørsel m.v. 

Medarbejder A i kommunen er ansat som administrativ medarbejder på rådhuset og har derfor adgang til portalen via sin arbejdsplads-pc, hvor log-in sker ved brugernavn og adgangskode.

Kommunen ønsker at indføre brug af privat NemID (samt tjek i AD) som log-in procedure til portalen, når log-in sker via fjernadgang, f.eks. hjemme fra medarbejderens egen pc.

Det er op til A, om han vil foretage indberetningen med sin private NemID via internettet, eller når han er på arbejde, hvor log-in sker med brugernavn og adgangskode. 

Den påtænkte løsning med brug af medarbejderens private NemID er i overensstemmelse med persondataloven, idet log-in ikke giver adgang til fortrolige og/eller følsomme oplysninger, og medarbejderen kan vælge at foretage indberetning uden at bruge sin private NemID.

Eksempel 3
Kommune C har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker m.v. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger. 

Kommunen ønsker at oprette et system på portalen, hvor den enkelte medarbejder skal indberette ferie, kørsel m.v. 
 
Medarbejder G i kommunen er ansat som gartner og har ikke adgang til portalen via en arbejdsplads-pc, hvor log-in sker med brugernavn og adgangskode.

Kommunen ønsker at indføre brug af privat NemID som log-in procedure til portalen, når log-in sker via fjernadgang, f.eks. hjemme fra medarbejderens egen pc, fra en fjernarbejdsplads-pc stillet til rådighed af kommunen eller fra en biblioteks-pc.
 
Når systemet er indført, vil kommunen stille krav om, at medarbejderen skal indberette ferie, kørsel m.v. ved brug af denne løsning og dermed af den private NemID.

Den påtænkte løsning med brug af medarbejdernes private NemID er ikke i overensstemmelse med persondataloven, idet medarbejderen er tvunget til at foretage indberetningen ved brug af sin private NemID.

Eksempel 4
Kommune D har indført digital selvbetjening som tilbud til kommunens borgere. 

Kommunen har oprettet en supportgruppe, som kan hjælpe borgere med spørgsmål til selvbetjeningsløsningen, samt opklare eventuelle opståede fejl mv. i løsningen.

For at medarbejderne i supportgruppen kan udføre disse opgaver, skal de foretage log-in med deres private NemID, som er det eneste der kræves for at få adgang.

Den påtænkte løsning med brug af medarbejdernes private NemID er ikke i overensstemmelse med persondataloven, idet medarbejderne er tvunget til at udføre supportopgaverne ved brug af deres private NemID.

Eksempel 5
Kommune E tilbyder administrative medarbejdere at kunne arbejde hjemme fra, og at medarbejderne kan foretage log-in fra deres private pc.

Medarbejderne kan via log-in procedure med privat NemID logge på kommunens intranet. Med indtastning af brugernavn og adgangskode kan medarbejderne derefter logge på kommunens ESDH-system og et sagsbehandlingssystem. I disse systemer behandles fortrolige og følsomme personoplysninger. 

Kommunen har foretaget en samlet risikovurdering omfattende alle elementer i løsningen, som bl.a. omfatter brug af citrix og NemID som ekstra faktor ved log-in. Kommunen har indført automatisk virusscanning og andre forholdsregler til imødegåelse af de risici, der følger med brug af medarbejdernes private pc til behandling af fortrolige og følsomme personoplysninger om kommunens borgere. Der er desuden fastsat særlige retnings-linjer for adgangen, og medarbejderne er blevet instrueret i, hvordan de anvender adgangen på sikker vis.

Hvis kommunen sørger for, at ordningen etableres, således at risici imødegås med de fornødne sikkerhedsforanstaltninger, vil det ikke være i strid med persondataloven, at privat NemID anvendes som en ekstra faktor ved log-in.

Eksempel 6
Kommune F giver medarbejderne mulighed for at logge ind med privat NemID i et system til al kommunikation mellem pædagoger og forældre. En del af kommunikationen omfatter fortrolige og følsomme personoplysninger. 

Den private NemID skal anvendes som log-in og ikke som en ekstra faktor.

Den påtænkte løsning med brug af medarbejderens private NemID er ikke i overensstemmelse med persondataloven, da der indgår fortrolige og følsomme personoplysninger.

Bilag 2: Gennemgang af relevante regler i persondataloven

Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det fremgår af lovforslagets bemærkninger til denne bestemmelse, at iværksættelse af de fornødne sikkerhedsforanstaltninger særligt er påkrævet, hvis behandlingen omfatter fremsendelse af oplysninger i et net. 

For behandlinger af personoplysninger, der foretages for den offentlige forvaltning, finder sikkerhedsbekendtgørelsen²  anvendelse.

Det følger af sikkerhedsbekendtgørelsens § 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse.

Det følger endvidere, at bestemmelserne navnlig skal omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer.

Af sikkerhedsbekendtgørelsens § 6 fremgår, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, der behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de interne sikkerhedsbestemmelser, der er fastsat af myndigheden, jf. sikkerhedsbekendtgørelsens § 5.

Sikkerhedsbekendtgørelsen § 7, stk. 2, omhandler behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarliges lokaler. Hvis sådan behandling sker, skal myndigheden fastsætte særlige retningslinjer herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstalt-ninger iagttages.

I henhold til sikkerhedsbekendtgørelsens § 14 må der kun etableres eksterne sikkerhedsforbindelse, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.

I Datatilsynets sikkerhedsvejledning⁴ er det nærmere angivet, hvorledes sikkerhedsbekendtgørelsens krav vil kunne opfyldes. 

For så vidt angår behandling af personoplysninger, der finder sted uden for den dataansvarliges lokaler tænkes der i sikkerhedsvejledningen først og fremmest på hjemmearbejdspladser (arbejdsplads som etableres ved opstilling i en medarbejders hjem af en pc med forbindelse til arbejdsgiverens edbsystem, således at medarbejderen kan udføre visse arbejdsopgaver hjemmefra). Men bestemmelsen vil også gælde i en række andre tilfælde, hvor behandling foretages andre steder end ved de sædvanlige arbejdspladser på arbejdsgiverens lokaliteter (brug af bærbare pc´er under rejse, hos kunder eller klienter etc., anvendelse af en pc i en anden virksomhed eller myndighed, anvendelse af privat pc i hjemmet). 

Når behandling af personoplysninger finder sted uden for den dataansvarliges lokaler, fremgår det af sikkerhedsvejledningen, at myndigheden skal foretage en vurdering ud fra de sikkerhedsmæssige forhold og fastsætte særlige retningslinjer på grundlag heraf.

Sikkerhedsvejledningen gennemgår en række af de sikkerhedsmæssige problemområder, som skal vurderes i forbindelse med fastsættelse af de særlige retningslinjer.

^1. NemID-reglerne kan ses på: https://www.nemid.nu/om_nemid/regler/regler_for_nemid/

^2. Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.

^3. www.datatilsynet.dk

⁴  Vejledning nr. 37 af 2. april 2001, som kan findes på www.datatilsynet.dk.

1. Datatilsynet finder det uklart, hvorvidt borgerne og virksomhederne stadig har ret til at henvende sig ved krypteret e-post til myndighederne og krav på også at få svar via sikker e-post, hvis det ønskes. Der henvises til eDag2 aftalen. Kopi af meddelelse af 2. april 2004 om eDag2 vedlægges. 
Datatilsynet bemærker i den forbindelse, at der i lovforslaget ikke er krav om, at myndighederne skal sende svar digitalt til de borgere, der måtte ønske det. I forhold til borgerne synes løsningen på dette punkt ringere.

Den foreslåede obligatoriske ordning, som indebærer omfattende håndtering og lagring af borgernes og virksomhedernes breve hos en udvalgt privat virksomhed, må efter Datatilsynets opfattelse give anledning til visse principielle og i den sidste instans politiske overvejelser om hensynet til de berørte personers privatliv. 
Hensynet til brugerne kan således efter tilsynets vurdering tale for, at der fortsat gives adgang til at vælge mellem forskellige løsninger til sikker digital kommunikation.

2. Det anføres flere steder, at postløsningen opfylder de relevante krav i persondataloven og sikkerhedsbekendtgørelsen. Medmindre Digitaliseringsstyrelsen er i besiddelse af en nylig revisionsrapport, hvor løsningen er gennemgået i alle detaljer i forhold til persondataloven, skal tilsynet foreslå, at teksten ændres, så det i stedet fremgår, at løsningen skal opfylde de omtalte krav.

3. I bemærkningerne til § 3 anføres i sidste afsnit, at "Finansministeren påser ved udpegning af den systemansvarlige, at denne også i relation til opbevaring af juridiske enheders kommunikation mv., efterlever bestemmelserne i § 41, stk. 3 -5, i lov om behandling af personoplysninger."

Datatilsynet foreslår, at sætningen omformuleres til: Finansministeren påser ved udpegning af den systemansvarlige og i kontraktens løbetid, at den systemansvarlige og eventuelle databehandlere, som denne anvender, også i relation til opbevaring af juridiske enheders kommunikation mv., efterlever bestemmelserne i § 41, stk. 3 -5, i lov om behandling af personoplysninger. Finansministeriet skal orienteres om og godkende alle kontrakter med databehandlere og skal til stadighed vide, hvor oplysningerne behandles, herunder også hvor backup af data og standby-beredskab befinder sig.

4. Efter Datatilsynets opfattelse bør ansvaret for, at datasikkerheden i forbindelse med den digitale post løsning er tilstrækkeligt høj, ligge hos såvel Digitaliseringsstyrelsen som den udpegede systemansvarlige.

Datatilsynet går i den forbindelse ud fra, at Digitaliseringsstyrelsen ved fastlæggelse af sikkerhedsniveauet for den digitale post løsning har foretaget en samlet risikovurdering omfattende alle elementer i løsningen. 
Efter Datatilsynets opfattelse er det endvidere nødvendigt, at der ved indretningen af de it-løsninger, som skal anvendes, er opmærksomhed på personers ret til privatliv og databeskyttelse. Beskyttelse af personoplysninger og privatliv bør efter Datatilsynets opfattelse indgå som en integreret del af ethvert digitaliseringsprojekt.

Datatilsynet skal i den forbindelse opfordre til, at der gennemføres en såkaldt privatlivsimplikationsanalyse (PIA).

Datatilsynet skal endvidere opfordre til brug af såkaldte privatlivsfremmende teknologier eller "Privacy Enhancing Technologies".

I forbindelse med tilsynets tidligere dialog med Økonomistyrelsen er det oplyst, at der udformes en form for (light) PIA (Privacy Impact Assessment) vedrørende den fællesoffentlige dokumentboks løsning. Tilsynet har imidlertid aldrig modtaget den udarbejdede PIA.

5. Persondataloven i § 41, stk. 4, indeholder en særlig regel, hvorefter der for oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold.

Denne regel indebærer bl.a., at visse større landsdækkende administrative systemer og specialregistre ikke må føres i udlandet. 

Reglen finder efter sin ordlyd alene direkte anvendelse, når det er en offentlig myndighed, der er dataansvarlig.

Datatilsynet finder, at Finansministeriet i lyset af de hensyn, der ligger bag den omtalte bestemmelse, bør overveje, hvor digital post løsningen fysisk må afvikles og supporteres.

6. Datatilsynet skal gøre opmærksom på, at "personfølsomme oplysninger", som er anvendt i lovforslaget på side 7, ikke er et begreb, som anvendes i lovgivningen. Det er endvidere tilsynets erfaring, at udtrykket i praksis ofte giver anledning til misforståelser, da der ikke findes en entydig definition. I stedet kan f.eks. anføres "følsomme personoplysninger", hvilket omfatter de kategorier af oplysninger af følsom karakter, som er omfattet af persondatalovens §§ 7 og 8.

7. Datatilsynet skal i øvrigt henholde sig til tilsynets udtalelse af 5. januar 2012 i forbindelse med præhøringen over lovforslaget.

8. For god ordens skyld skal Datatilsynet bemærke, at ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet, jf. persondatalovens § 57. 

Kopi af dette brev er dags dato sendt til Justitsministeriets Lovafdeling.

 
Ved e-mail af 27. januar 2012 har Digitaliseringsstyrelsen anmodet om Datatilsynets bemærkninger til ovennævnte lovforslag.

1. I afsnit 3.2 i de almindelige bemærkninger om "persondatabeskyttelse" omtales kravet om de fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, samt sikkerhedsbekendtgørelsen, herunder bestemmelsen i bekendtgørelsens § 14.

Datatilsynet skal i tilknytning dertil påpege, at persondataloven i sin helhed skal iagttages, når der udvikles og implementeres digitale selvbetjeningsløsninger. Tilsynet skal særligt fremhæve følgende elementer:

• Grundbetingelserne om god databehandlingsskik, saglighed og proportionalitet.
• Krav om behandlingshjemmel, herunder evt. behov for samtykke. Der kan  bl.a. være behov for, at borgeren i visse situationer klikker ja til, at oplysninger indhentes fra en anden myndighed f.eks. med henblik på automatisk udfyldelse af formularer.
• Iagttagelse af de registrerede personers rettigheder. Selvbetjeningsløsninger må bl.a. tage hånd om oplysningspligten, således at de oplysninger, som skal gives til borgeren, gives i forbindelse med udfyldningen af formularer og lignende online.
• Datasikkerhed: Krav om de fornødne sikkerhedsforanstaltninger, instruktion, skriftlig kontrakt med eventuelle databehandlere og kontrol med disse, sikkerhedsbekendtgørelsen.

2. Af afsnit 4.2 i de almindelige bemærkninger fremgår bl.a. følgende:

"[…] Allerede i dag er der således borgere, der får hjælp til at ansøge, anmelde, indberette mv., uanset om dette er ved udfyldelse af en blanket eller en mere digitalt baseret løsning. På tilsvarende vis er det forventningen, at der vil være borgere, som vil have behov for hjælp til at bruge digital selvbetjening. Andre institutioner som for eksempel bibliotekerne vil også være et oplagt sted at tilbyde borgerne hjælp til digital selvbetjening. De kommunale borgerservicecentre og eksempelvis bibliotekerne vil således kunne tilbyde adgang til computere og
medarbejdere, der kan hjælpe borgerne med de digitale løsninger. På den måde bliver også de mindre it-kyndige borgere efterhånden mere digitalt selvhjulpne.

Hjælp til digital selvbetjening ligger i forlængelse af den almindelige vejledningsopgave overfor borgerne, som de kommunale borgerservicecentre varetager. De offentlige myndigheder er således fortsat underlagt den sædvanlige vejledningspligt samt pligt til i givet fald at henvise en borger til rette myndighed, jf. forvaltningsloven § 7.

I kommuner, frivillige organisationer og oplysningsforbund foregår der en række ativiteter i såvel offentligt som privat regi, som støtter op om borgernes behov for hjælp og kompetencer. Heriblandt kan nævnes kommunernes Digitale Ambassadører, ældreorganisationernes datastuer og oplysningsforbundenes it-undervisning.

[…]
Det er hensigten, at borgerne fortsat skal tilbydes hjælp således, at det eksempelvis vil være muligt for en borger, der ikke selv har en PC, at møde op på borgerservice eller det lokale bibliotek og her udfylde en flytteanmeldelse eller skrive sit barn op til skolestart digitalt på kommunens PC."

2.1. Datatilsynet er enig i, at der er behov for vejledning og evt. undervisning i brug af digitale løsninger. Efter tilsynets opfattelse er der desuden behov for, at undervisning og instruktion kan ske, uden at borgerens eller underviserens egne personoplysninger anvendes. Datatilsynet skal på den baggrund opfordre til, at der bliver udarbejdet fiktive datasæt, som kan anvendes, når borgere skal have undervisning i digital selvbetjening. 

2.2. I forhold til den omtalte vejledning i borgerservicecentre og på bibliotekerne skal Datatilsynet opfordre til, at det tydeliggøres, at såvel bibliotekets som borgerservicecentres medarbejdere handler som ansatte i en offentlig forvaltningsmyndighed (kommunen), og at kommunen er ansvarlig for den vejledning, der gives, og for medarbejdernes håndtering af oplysninger om borgerne, som de måtte blive bekendt med.

Forpligtigelsen efter persondataloven og sikkerhedsbekendtgørelsen til at give instruktion til medarbejdere, der håndterer personoplysninger, er ligeledes relevant i denne sammenhæng. Kommunens instrukser om håndtering af per-sonoplysninger i forbindelse med vejledning i brug af selvbetjeningsløsninger kan indgå i de uddybende sikkerhedsregler, som kræves efter sikkerhedsbekendtgørelsen.

2.3. Datatilsynet skal endvidere påpege vigtigheden af, at sikkerheden på de computere, der stilles til rådighed på eksempelvis borgerservicecentre og biblioteker, til enhver tid har et tilstrækkeligt niveau. For eksempel med hensyn til antivirus-beskyttelse, firewall, web-filtrering (URL-filter) og lignende. Det vil endvidere være relevant at opsætte pc'erne således, at der ikke er administratorrettigheder for borgerne, det sidstnævnte for at beskytte mod, at utilsigtede eller tilsigtede handlinger udført af én borger kan have indflydelse på sikkerheden for en anden borger, der benytter samme pc.

Som minimum bør kommunen fastlægge procedurer til sikring af, at de pc'er, der stilles til rådighed, konstant er sikkerhedsmæssigt opdaterede, her tænkes  på antivirus, operativsystem og al anden software. Procedurerne bør indgå i de uddybende sikkerhedsregler. For at sikre, at der tages hånd om dette, foreslår Datatilsynet, at Digitaliseringsstyrelsen overvejer, om det kan være hensigtsmæssigt og formålstjentligt, at styrelsen udsteder mere formelle regler herom.

3. I de almindelige bemærkninger omtales NemID flere steder. Under overskriften "Identifikation af brugeren" er det i afsnit 4.2. bl.a. anført, at det på langt hovedparten af områderne må forventes, at der stilles krav om anvendelse af en sikker identifikation af borgeren i form af den nødvendige digitale signatur som eksempelvis NemID. Det er videre anført, at ved anvendelse af digital signatur skal der være tale om en digital signatur baseret på den til enhver tid gældende OCES-standart, som er fastlagt i certifikatpolitik for OCES-personcertifikater og certifikatpolitik for OCES-medarbejdercertifikater, såsom NemID.

Tvungen brug af selvbetjeningsløsninger baseret på NemID aktualiserer en problemstilling, som tilsynet tidligere har påpeget overfor IT og Telestyrelsen omkring opbevaring af borgernes private nøgle. 

Datatilsynet udtalte bl.a. følgende i brev af 3. marts 2009 til IT og Telestyrelsen:

"[…] Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares. 

Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle. 

Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne. […]" 

Datatilsynet bekendt er der endnu ikke etableret mulighed for egen opbevaring af den private nøgle. På Datatilsynets forespørgsel har Digitaliseringsstyrelsen (IT og Telestyrelsen) den 22. august 2011 oplyst, at løsningen med decentral opbevaring af den private nøgle er udskudt til udgangen af 2012, og i medierne er det efterfølgende blevet oplyst, at løsningen nu er udskudt på ubestemt tid.

4. I de almindelige bemærkninger i lovforslagets afsnit 4.4 er bl.a. anført at, det ikke anses fornødent at fastsætte særlige krav om digital sikkerhed i form af eksempelvis digital signatur i lovforslaget.

Datatilsynet er for så vidt enig, men skal understrege, at der er behov for sikre løsninger. Tilsynet har set flere eksampler på, at myndigheder mv. har udviklet deres egen login til mobile enheder som smartphones og lignende. Tilsynet har i brev af 29. november 2011 rettet henvendelse til Digitaliseringsstyrelsen og gjort opmærksom på, at der er et aktuelt behov for et sikkerhedsmæssigt forsvarligt login til selvbetjeningsløsninger på smartphones og lignende.

Novo Nordisk A/S har oplyst, at tilladelse ønskes givet til, at der kan ske overførsel af personoplysninger til tredjelande i overensstemmelse med de bindende virksomhedsregler (Binding Corporate Rules - BCR) for overførsel af personoplysninger til tredjelande, som Novo Nordisk A/S har vedtaget.

Datatilsynet har ved e-mail af 13. oktober 2011 meddelt Novo Nordisk A/S, at proceduren som beskrevet i WP 107 afsluttes, idet Novo Nordisk A/S' BCR må anses for at tilsikre et tilstrækkeligt beskyttelsesniveau i forhold til direktivet og de vejledende dokumenter fra artikel 29-gruppen.

Under henvisning til ovenstående meddeler Datatilsynet hermed Novo Nordisk A/S

TILLADELSE 

til overførsel af personoplysninger til tredjelande i medfør af persondatalovens § 27, stk. 4. Tilladelsen meddeles på følgende vilkår:

1. Enhver overførsel og/eller senere behandling af personoplysninger omfattet af de bindende virksomhedsregler må udelukkende finde sted i overensstemmelse med disse.
2. Enhver væsentlig ændring af de bindende virksomhedsregler skal meddeles Datatilsynet med henblik på forudgående godkendelse i medfør af persondatalovens § 27, stk. 4.

Det bemærkes, at overtrædelse af ovenstående vilkår er strafbelagt efter persondatalovens § 27, stk. 4, jf. § 70, stk. 1, nr. 5.

Datatilsynet skal samtidig særligt henlede opmærksomheden på bestemmelsen i § 27, stk. 5, hvoraf fremgår, at reglerne i persondataloven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter bl.a. § 27, stk. 4.

Det betyder bl.a., at hvis der er tale om videregivelse, eksempelvis til et andet selskab inden for samme koncern, skal der være hjemmel hertil i behandlingsreglerne i kapitel 4, samt at reglerne om behandlingssikkerhed, skriftlig instruks mv., jf. kapitel 11, skal iagttages ved overladelse af oplysninger til en databehandler.

Datatilsynet skal i øvrigt for god ordens skyld understrege, at tilsynet i sit løbende tilsynsarbejde har ret til at kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser, jf. persondatalovens § 62, stk. 1. 

Datatilsynet vil orientere Europa-Kommissionen om tilsynets afgørelse.

Datatilsynet forventer desuden at offentliggøre dette brev på tilsynets hjemmeside.

På Datatilsynets opfordring er kommunen ved e-mail af 14. september 2011 og ved telefonsamtale den 22. september 2011 fremkommet med supplerende oplysninger til sagen. Ved brev af 28. september 2011 har Dansk Sygeplejeråd kommenteret de supplerende oplysninger.

2. Det fremgår herefter af sagen, at A den 13. september 2010 tiltrådte en stilling ved kommunen. Af ansættelsesbrevet fremgik, at de første 3 måneder af ansættelsesforholdet var prøvetid. 

Det fremgår endvidere, at der i perioden 17. – 23. september 2010 blev afholdt 5 samtaler mellem A og forskellige personer fra ledelsen. Det fremgår af notaterne fra de pågældende samtaler, at A’s arbejde og adfærd blev drøftet. Notaterne indeholder referat af udsagn og tilkendegivelser under de 5 samtaler – dels fra navngivne ledelsespersoner – dels fra A.

Det fremgår videre af sagen, at kommunen ved brev af 1. oktober 2010 indkaldte A til en tjenstlig samtale. Indkaldelsen indeholdt følgende passus: ”Du indkaldes hermed til tjenstlig samtale den 11. oktober 2010 kl. 08.00. På baggrund af de samtaler vi løbende har haft, vil vi ved mødet drøfte situationen og perspektiverne for dit fremtidige ansættelsesforhold ved kommunen.”

Datoen for samtalen blev efter det oplyste rykket til den 15. oktober 2010. 

Af referatet af 15. oktober 2010 af samtalen fremgår bl.a., at ældrechefen redegjorde for, at ledelsen har afholdt 5 samtaler med A i forbindelse med de problemstillinger, ledelsen oplever i forbindelse med A. Der redegjordes herefter ifølge referatet for de omhandlede problemstillinger. 

Ifølge referatet oplyste A hertil, at hun ikke har opfattet de 5 samtaler som samtaler, der blev afholdt på grund af utilfredshed, men som løbende evalueringssamtaler. Bisidderen for A efterspurgte ifølge referatet notater fra de omhandlede 5 samtaler, som kommunen oplyste ville blive fremsendt i forbindelse med høringsskrivelsen. 

Det fremgår herefter af sagen, at kommunen sendte samtalenotaterne til A i forbindelse med en høringsskrivelse fremsendt den 15. oktober 2010.

Ved brev af 24. oktober 2010 kommenterede A kommunens høring og anførte bl.a., at de 5 notaters eksistens og indhold kom bag på hende, og at hun ville forvente at have haft mulighed for at komme med bemærkninger til indholdet.

Ved brev af 26. oktober 2010 blev A opsagt i prøvetiden af kommunen fra sin stilling […]. I opsigelsen skrev kommunen, at ledelsen siden A’s ansættelse havde afholdt 5 samtaler med A, hvor der var blevet gjort opmærksom på de problemer, som ledelsen havde oplevet i forbindelse med A’s opgavevaretagelse.

3. Dansk Sygeplejeråd har over for Datatilsynet anført, at A ikke var bekendt med, at ovenstående 5 samtaler var i forbindelse med problemstillinger, som kommunen oplevede i forbindelse med A, og at det kunne få ansættelsesmæssige konsekvenser.

Dansk Sygeplejeråd har endvidere anført, at A var af den opfattelse, at det var drøftelser i forbindelse med hendes introduktionsforløb, da hun på det givne tidspunkt kun havde været ansat i kommunen i 14 dage.

I den forbindelse har Dansk Sygeplejeråd anført, at det er foreningens opfattelse, at der ikke må ligge sådanne notater om de ansatte, uden at de ansatte er orienteret herom, samt at kommunen hermed har tilsidesat oplysningspligten efter persondatalovens § 28.

Kommunen har anført, at det er dennes opfattelse, at oplysningerne er indsamlet hos A i perioden 17. til 23. september 2010, og at A således var bekendt med indholdet af samtalerne, samt at A derudover blev orienteret om notaterne den 15. oktober 2010 og modtog notaterne den 16. oktober 2010.

Kommunen har endvidere oplyst, at den mener, at persondatalovens § 28 er overholdt.

Dansk Sygeplejeråd har endvidere anført, at kommunen har tilsidesat pligten til at give indsigt i de omhandlede samtalenotater.

4. Datatilsynet skal herefter udtale følgende:

4.1. I persondatalovens¹  (herefter loven) kapitel 8 er der regler om den dataansvarliges oplysningspligt over for den registrerede. Reglerne er uddybet i Datatilsynets vejledning om registreredes rettigheder²  (herefter vejledningen).

4.1.1. Ved indsamling af oplysninger hos den registrerede skal den dataansvarlige eller dennes repræsentant ifølge persondatalovens § 28, stk. 1, give den registrerede meddelelse om følgende:

1) Den dataansvarliges og dennes repræsentants identitet.
2) Formålene med den behandling, hvortil oplysningerne er bestemt.
3) Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks.:

Det fremgår af vejledningen, at der skal gives den registrerede meddelelse om, for det første den dataansvarliges og dennes eventuelle repræsentants identitet, jf. lovens § 28, stk. 1, nr. 1. 

Endvidere skal der gives meddelelse om formålene med den behandling, hvortil oplysningerne er bestemt, jf. lovens § 28, stk. 1, nr. 2. I kravet om formålsangivelse ligger, at der skal gives den registrerede tilstrækkelig information til, at den pågældende bliver klar over, hvad der er baggrunden for, at der indsamles oplysninger om den pågældende. Hvilke krav der i det enkelte tilfælde skal stilles til formålsangivelsen, vil bero på en vurdering af de konkrete omstændigheder omkring behandlingen af oplysningerne. Da hensigten med bestemmelsen - som nævnt oven for under pkt. 2 - er at skabe åbenhed omkring behandlingen af oplysninger, må det dog kræves, at den dataansvarlige - som minimum - underretter den registrerede om, hvad de indsamlede oplysninger skal bruges til eller påtænkes brugt til på indsamlingstidspunktet. Indsamlede oplysninger kan herefter i den periode, som er nødvendig hertil, behandles i disse øjemed. Oplysningerne vil endvidere i almindelighed kunne behandles (benyttes) til andre, efterfølgende saglige formål, uden at den dataansvarlige på ny skal give den registrerede meddelelse, hvis behandlingen ikke er uforenelig med det eller de formål, som oprindeligt er oplyst til den registrerede i forbindelse med opfyldelsen af oplysningspligten. 

Endelig skal der gives meddelelse om alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, jf. lovens § 28, stk. 1, nr. 3. 

Opregningen i § 28, stk. 1, nr. 3, litra a-c er ikke udtømmende. Der vil derfor efter omstændighederne kunne påhvile den dataansvarlige en pligt til at give den registrerede anden information end de oplysninger, som følger af bestemmelserne i litra a-c. Om der skal gives den registrerede anden (yderligere) information beror - ligesom med hensyn til bestemmelserne i litra a-c - på en konkret vurdering af, om dette er nødvendigt for, at den registrerede kan varetage sine interesser i det enkelte tilfælde. Der skal endvidere tages hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet. Oplysningspligten omfatter som udgangspunkt alene oplysninger, som på indsamlingstidspunktet må anses for nødvendige i bestemmelsens forstand. 

4.1.2. Efter lovens § 28, stk. 1, indtræder den dataansvarliges oplysningspligt over for den registrerede ved indsamlingen af oplysninger.

Det fremgår af vejledningen, at den registrerede som udgangspunkt skal have meddelelse om de i § 28 nævnte forhold samtidig med indsamlingen af oplysninger hos den registrerede.

Det fremgår af endvidere af vejledningen, at der ikke gælder nogen formkrav til meddelelsen til den registrerede. Det er imidlertid den dataansvarlige, som - i tilfælde af uenighed om, hvorvidt der er givet den fornødne underretning til den registrerede - skal kunne dokumentere, at oplysningspligten er opfyldt.

Det følger også af vejledningen, at i tilfælde, hvor offentlige myndigheder indhenter oplysningerne mundtligt, f.eks. under møder med den pågældende, i forbindelse med interview, ved rapportoptagning eller ved samtidig oprettelse af og tilførsel til en journal eller lignende, kan det godt tænkes, at myndigheden vil kunne dokumentere, at oplysningspligten er iagttaget, når det af rapporten, journalen m.v. fremgår, at oplysningerne er afgivet mundtligt til den pågældende. Den, der noterer sådanne oplysninger på sagen, har typisk ingen personlig interesse i sagens realitet og foretager notatet under det tjenstlige og strafferetlige ansvar, hvorunder alle offentligt ansatte virker, og notatet må derfor kunne tillægges betydelig bevismæssig værdi.

En offentlig myndighed, som mundtligt modtager oplysninger vedrørende en sags faktiske omstændigheder, der er af betydning for sagens afgørelse, eller som på anden måde er bekendt med sådanne oplysninger, skal gøre notat om indholdet af oplysningerne, jf. lov om offentlighed i forvaltningen (offentlig-hedsloven) § 6.

4.1.3. Efter lovens § 28, stk. 2, kan der i de situationer, hvor der indsamles oplysninger hos den registrerede selv, gøres undtagelse fra oplysningspligten, hvis den registrerede allerede er bekendt med de oplysninger, som er omfattet af oplysningspligten. Om dette er tilfældet, vil bero på en konkret vurdering af omstændighederne omkring indsamlingen af oplysningerne.

Af vejledningen fremgår endvidere, at lovens § 28, stk. 2, bygger på den forudsætning, at den dataansvarlige skal opfylde sin oplysningspligt, hvis den dataansvarlige er i tvivl om, hvorvidt den registrerede allerede er bekendt med de i stk. 1, nr. 1-3, anførte oplysninger.

4.2. Det er Datatilsynets opfattelse, at oplysningerne i de pågældende notater er omfattet af persondatalovens anvendelsesområde, og at der er tale om en situation omfattet af persondatalovens § 28.

Kommunen har henvist til, at A var bekendt med indholdet af samtalerne. Datatilsynet har forstået kommunens bemærkninger således, at kommunen mener, at der var tale om en situation, hvor den registrerede allerede var bekendt med de oplysninger, som er omfattet af oplysningspligten, jf. § 28, stk. 2.
 
Da de omhandlede udsagn og tilkendegivelser blev indsamlet ved samtaler mellem A og hendes daværende arbejdsgiver, kommunen, er det Datatilsynets opfattelse, at A var bekendt med den dataansvarliges identitet, jf. lovens § 28, stk. 1, nr. 1.

Af hvert af de 5 samtalenotater fremgår, hvad der konkret har givet anledning til den pågældende samtale, Det fremgår eksempelvis af notatet af 17. september 2010: ”A er blevet bedt om, at komme op til en samtale grundet misforhold mellem mine og A’s forventninger til jobbet […].” Af notatet af 22. september 2010 fremgår: ”Samtalen foranlediget af oplysninger til områdelederne […] om at A udtrykker utilfredshed med sin løn indplacering og ansættelse efter […] overenskomst […].”

Under henvisning til det, som er anført i notaterne, og til, at det må anses for et naturligt led i samtalen at redegøre over for A for, hvorfor den finder sted, er det Datatilsynets vurdering, at formålet med at indhente A’s tilkendegivelser og vurderinger har været klart i de konkrete samtalesituationer.

Det er endvidere Datatilsynets opfattelse, at inddragelsen – og dermed den efterfølgende brug – af de omhandlede oplysninger i afskedigelsen ikke udløser krav om ny meddelelse efter § 28. Der henvises herved til det ovenfor under pkt. 4.1.1. anførte. Datatilsynet har herved lagt vægt på, at A var ansat på prøve, og at det derfor må have stået hende klart, at der foregik en bedømmelse og evaluering af hendes arbejde og adfærd, og at forløbet af de stedfundne samtaler ville indgå heri. 

Med hensyn til at give besked om eventuelle yderligere oplysninger, der i den konkrete situation er nødvendige for, at den registrerede kan varetage sine interesser, finder Datatilsynet, at det ville have været bedst stemmende med persondatalovens § 28, stk. 1, nr. 3, hvis kommunen havde gjort A bekendt med adgangen til at anmode om indsigt i og berigtigelse af oplysninger, der var indsamlet vedrørende hende i de 5 samtalenotater. Datatilsynet har herved lagt vægt på, at hensynet bag reglerne om oplysningspligt er at informere den registrerede om, at der behandles oplysninger om vedkommende, og at den pågældende derved sættes i stand til at kunne varetage sine interesser. 

Datatilsynet har gjort kommunen bekendt med sin opfattelse. 
Kopi af Datatilsynets brev til kommunen vedlægges.

4.3. Datatilsynet gør opmærksom på, at persondataloven ikke indeholder en høringsbestemmelse. Det ligger således uden for Datatilsynets kompetence at vurdere, hvorvidt og hvornår der skal foretages høring over dokumenter i en afskedigelsessag. 

Det ligger endvidere uden for Datatilsynets kompetence at vurdere, om ansættelsesretlige procedurer er overholdt ved gennemførelsen af de omhandlede samtaler mellem ledelsen og A, og om det var rimeligt at lægge vægt på oplysningerne i de omhandlende notater i forbindelse med afskedigelsen af A.

For så vidt angår Dansk Sygeplejeråds påstand om, at kommunen har tilsidesat deres pligt til at give indsigt, har Datatilsynet lagt vægt på det i sagen oplyste om, at kommunen har fremsendt notaterne samme dag, som der blev fremsat anmodning herom.

Der er således ikke grundlag for at antage, at kommunen har tilsidesat forpligtelsen efter persondatalovens § 31, hvorefter den dataansvarlige snarest skal besvare modtagne begæringer om indsigt

Af Deres henvendelse fremgår, at Deres klient B er utilfreds med, at han ikke kan få berigtiget oplysninger om sin fødselsdato hos Udlændingeservice.

Ministeriet for Flygtninge, Indvandrere og Integration er kommet med en udtalelse til sagen i brev af 8. februar 2011. De er i brev af 3. marts 2011 kommet med bemærkninger til ministeriets udtalelse.

Datatilsynet skal - efter at sagen været behandlet i Datarådet - meddele følgende:

Det er Datatilsynets opfattelse, at tilsynet efter persondatalovens § 37 ikke har mulighed for at efterprøve udlændingemyndighedernes afgørelse om fastlæggelse af Deres klients fødselsdato og -år.

Datatilsynet har herved lagt vægt på, at fastlæggelsen af Deres klients identitet, herunder fødselsdato og -år, er central for Deres klients retsstilling efter udlændingelovgivningen, og at afgørelsen herom derfor har karakter af en egentlig materiel prøvelse, som det er udlændingemyndighedernes kompetence at foretage som led i behandlingen af Deres klients sag efter udlændingelovgivningen. Der henvises herved til udtalelsen af 8. februar 2011 fra Ministeriet for Flygtninge, Indvandrere og Integration.

Persondatalovens § 37 tilsigter efter Datatilsynets opfattelse ikke at give Datatilsynet kompetence til at vurdere indholdsmæssige spørgsmål, der er reguleret af anden lovgivning som eksempelvis udlændingelovgivningen.

Datatilsynet finder derfor ikke at kunne gå ind i en nærmere vurdering af de oplysninger, Deres klient har fremlagt i sagen.

Nedenfor under pkt. 2-5 følger en gennemgang af sagens omstændigheder og Datatilsynets afgørelse.

2. Sagsfremstilling

2.1. Det fremgår af Ministeriet for Flygtninge, Indvandrere og Integrations afgørelse af [udeladt], at B den [udeladt] indgav ansøgning om opholdstilladelse i Danmark. Til ansøgningen havde B vedlagt kopi af et [udeladt] pas og kopi af sin daværende opholdstilladelse i [udeladt], hvoraf det fremgik, at han var født den [udeladt].

2.2. Udlændingeservice gav ved brev af [udeladt] B afslag på at få ændret sin fødselsdato fra den [udeladt] til [udeladt] med den begrundelse, at der til ansøgningen ikke var vedlagt tilstrækkelig dokumentation for, at han var født i [udeladt], idet den til ansøgningen vedlagte affidavit ikke kunne lægges til grund for en fødselsdatorettelse. Ifølge Deres brev af 28. oktober 2010 til Folketingets Ombudsmand stadfæstede Ministeriet for Flygtninge, Indvandrere og Integration den pågældende afgørelse den [udeladt].

2.3. Ifølge Ministeriet for Flygtninge, Indvandrere og Integration anmodede B ved brev af 22. juni 2010 på ny Udlændingeservice om, at hans fødselsår blev ændret under henvisning til et vedlagt fødselsattestbrev (Birth Attestation letter). Det fremgår af brevet udstedt af [udeladt], at det obligatoriske fødsels- og dødsregister på tidspunktet for B's fødsel endnu ikke var påbegyndt i [udeladt], idet et sådant først blev iværksat i 1988.

Det fremgår endvidere, at under henvisning til ovenstående og til, at B under ed havde oplyst at være født den [udeladt], falder det uden for dækning af udstedelse af en fødselsattest. Ved brev af 1. juli 2010 meddelte Udlændingeservice B afslag på at ændre fødselsdatoen.

Ved brev af 20. juli 2010 påklagede De på vegne af B afgørelsen til Ministeriet for Flygtninge, Indvandrere og Integration.

2.4. Ved brev af 14. september 2010 meddelte Ministeriet for Flygtninge, Indvandrere og Integration B, at ministeriet ikke fandt grundlag for at ændre Udlændingeservices afgørelse. Ministeriet fandt ikke, at B havde kunnet fremlægge dokumentation for, at hans rigtige fødselsdato var [udeladt]. Ministeriet havde i denne forbindelse lagt afgørende vægt på, at det af det fremlagte dokument fremgik, at B's fødselsdato faldt uden for dækningen af udstedelse af en fødselsattest, idet et obligatorisk fødsel- og dødsregister på tidspunktet for hans fødsel endnu ikke var oprettet i [udeladt].

Det forhold, at det af dokumentet fremgik, at B var født den [udeladt], kunne ikke føre til en ændret vurdering af sagen, idet dette var baseret på oplysninger fra B. Der var dermed ikke fremlagt noget materiale til belysning af B's fødselsdag, som ikke var grundet i hans egne oplysninger.

Ministeriet havde ligeledes tillagt det en vis vægt, at det af B's sag fremgik, at han under sit ophold i Danmark frem til januar 2008 konsekvent opgav sin fødselsdato som [udeladt] og senest den 3. juni 2007 havde oplyst at være født på denne dato i sin ansøgning om opholdstilladelse i Danmark på baggrund af ægteskab.

3. Deres argumenter

De har i Deres klage af 28. oktober 2010 bl.a. anført følgende:

De har bl.a. i brev af 3. marts 2011 endvidere anført:

4. Ministeriet for Flygtninge, Indvandrere og Integrations argumenter

Ministeriet for Flygtninge, Indvandrere og Integration har i brev af 8. februar 2011 bl.a. anført følgende:

5. Datatilsynet skal - efter at sagen har været behandlet i Datarådet - udtale følgende:

5.1. Behandlingen af oplysninger om Deres klient B's fødselsdato i Udlændingeservices it-systemer, herunder Udlændingeregisteret, er omfattet af persondatalovens anvendelsesområde, jf. lovens § 1, stk. 1¹.

Det fremgår af persondatalovens § 37, stk. 1, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig at være urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Efter persondatalovens § 60 træffer Datatilsynet over for vedkommende myndighed afgørelse i sager vedrørende bl.a. § 37.

Udlændingeservice er som oplyst dataansvarlig for bl.a. Udlændingeregisteret.

5.2. Efter en gennemgang af sagen er det Datatilsynets opfattelse, at tilsynet efter persondatalovens § 37 ikke har mulighed for at efterprøve udlændingemyndighedernes afgørelse om fastlæggelse af Deres klients fødselsdato og -år.

Datatilsynet har herved lagt vægt på, at fastlæggelsen af Deres klients identitet, herunder fødselsdato og -år, er central for Deres klients retsstilling efter udlændingelovgivningen, og at afgørelsen herom derfor har karakter af en egentlig materiel prøvelse, som det er udlændingemyndighedernes kompetence at foretage som led i behandlingen af Deres klients sag efter udlændingelovgivningen. Der henvises herved til udtalelsen af 8. februar 2011 fra Ministeriet for Flygtninge, Indvandrere og Integration.

Persondatalovens § 37 tilsigter efter Datatilsynets opfattelse ikke at give Datatilsynet kompetence til at vurdere indholdsmæssige spørgsmål, der er reguleret af anden lovgivning som eksempelvis udlændingelovgivningen.

Datatilsynet finder derfor ikke at kunne gå ind i en nærmere vurdering af de oplysninger, Deres klient har fremlagt i sagen.

Datatilsynet foretager sig derfor ikke yderligere i sagen.

Datatilsynet skal beklage den lange sagsbehandlingstid, der skyldes, at tilsynet har mange sager til behandling.

¹ Loven gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register