Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Assens Kommune

Brevdato: 11.11.16

Journalnummer: 2016-623-0057

Assens Kommune er blandt de myndigheder, som tilsynet har udvalgt til tilsyn i 2016.  Efter anmodning fra Datatilsynet har kommunen udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserer i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Datatilsynet har endvidere været på besøg hos Assens Kommune. Under Datatilsynets besøg drøftedes krav om datasikkerhed med afsæt i kommunes besvarelse af Datatilsynets oplysningsskemaer. Der blev endvidere drøftet offentliggørelse af personoplysninger på internettet, instruktion af medarbejdere og brug af personoplysninger uden for den dataansvarliges lokaliteter. Udkast til referat af tilsynet har været fremsendt til kommunen. Endeligt referat vedlægges.

Sammenfattende kan Datatilsynet konkludere

  1. at Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler,
  2. at Assens Kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne,
  3. at Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, men
  4. at Assens Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, og
  5. at Assens Kommune ikke i tilstrækkeligt omfang har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede,
  6. at Assens Kommune i vidt omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler,
  7. at et fremsendt eksempel på en aftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra kommunen, og at denne aftale således er en databehandleraftale, og
  8. at Assens Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses. 

Efter Datatilsynets opfattelse er der med pkt. 4, 5, 8 og i en mindre grad pkt. 6 tale om mangler i Assens Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget beklageligt

En nærmere gennemgang af sagen følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Assens Kommune indsendt et eksemplar af de uddybende sikkerhedsregler, kommunen har fastsat til uddybning af reglerne i sikkerhedsbekendtgørelsen1. Datatilsynet har foretaget stikprøvevis2 opslag i disse og eventuelt bedt kommunen afklare, om nærmere retningslinjer findes. Det skal for god ordens skyld understreges, at Datatilsynet ikke har gennemgået de uddybende sikkerhedsregler i alle detaljer, og at tilsynet således ikke med dette tilsyn kan siges at have ”godkendt” reglerne.

Assens Kommune har endvidere besvaret spørgsmål fra Datatilsynet til afklaring af, hvorvidt de uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden.

Kommunen har oplyst, at de uddybende sikkerhedsregler bliver gennemgået årligt og har oplyst datoer for sidste og næstsidste gennemgang.

Konklusioner vedrørende uddybende sikkerhedsregler

På grundlag af de modtagne oplysninger kan Datatilsynets med tilfredshed konkludere, at

  • Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, og at
  • Assens Kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne.

2. Kommunens eget tilsyn
Datatilsynets har spurgt, om kommunen har fastsat retningslinjer for myndighedens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for kommunen, jf. sikkerhedsbekendtgørelsens § 5, stk. 2.

Assens Kommune har svaret ja til, at der er retningslinjer for kommunens eget tilsyn og har henvist til det relevante afsnit i de uddybende sikkerhedsregler.

I oplysningsskemaet anmodede Datatilsynet endvidere – som en stikprøve – kommunen om at oplyse, om og hvordan der er ført tilsyn på to områder.

Assens Kommune har svaret ja til, at der er ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, og har beskrevet hvordan dette foregår.

På grundlag af kommunens besvarelse samt drøftelse heraf under Datatilsynets opfølgende besøg hos kommunen er det imidlertid tilsynets opfattelse, at Assens Kommune ikke i tilstrækkeligt omfang har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system. 

Assens Kommune har svaret ja til, at der er ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, jf. § 17, stk. 1, i sikkerhedsbekendtgørelsen, og har beskrevet hvordan dette foregår.

På grundlag af kommunens besvarelse samt drøftelse heraf under Datatilsynets opfølgende besøg hos kommunen er det imidlertid tilsynets opfattelse, at Assens Kommune ikke i tilstrækkeligt omfang har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, jf. § 17, stk. 1, i sikkerhedsbekendtgørelsen.

Konklusioner vedrørende myndighedens eget tilsyn

På grundlag af de modtagne oplysninger kan Datatilsynets konkludere, at

  • Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, men at
  • Assens Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, og at
  • Assens Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede.

Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 5 nedenfor. 

3. Databehandleraftaler
Datatilsynets tilsyn med Assens Kommune omfattede en stikprøvevis undersøgelse af kommunens efterlevelse af persondatalovens krav3 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

I forbindelse med denne stikprøveundersøgelse har Datatilsynet udvalgt fem områder, hvor kommunen er blevet bedt om at oplyse om brugen af databehandlere.

Assens Kommune har besvaret tilsynets spørgsmål om, hvor mange databehandlere kommunen benytter på de fem områder, således:

  • Beskæftigelse: 3
  • Pas og kørekort: 2
  • Børnepasning: 1
  • Sundhedspleje: 3
  • Ældrepleje: 8

Datatilsynet har anmodet kommunen om at udfylde et oplysningsskema for hver af de anvendte databehandlere. I den forbindelse har Datatilsynet også spurgt om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis dette besvares med ja, har Datatilsynet anmodet om, at kommunen udfylder et oplysningsskema, for hver underdatabehandler, da disse jo også er kommunens databehandlere. 

Assens Kommunes besvarelser viser, at der er indgået databehandleraftaler med de fleste af de anvendte databehandlere. Der mangler dog enkelte aftaler. Kommunen har i hvert enkelt tilfælde begrundet, hvorfor dette er tilfældet.
 
Assens Kommune har som bilag til de af kommunen udfyldte oplysningsskemaer for databehandlere indsendt kopi af kommunens databehandleraftaler.

 
Datatilsynet har herefter tilfældigt udvalgt én af de omhandlede databehandleraftaler4. Datatilsynet har ikke foretaget en detaljeret gennemgang af den pågældende aftale men har undersøgt, om det fremgår af aftalen, at databehandleren alene handler efter instruks fra kommunen. Fremgår dette ikke, vil der efter Datatilsynets opfattelse ikke være tale om en databehandleraftale, der lever op til persondataloven. 

Den fremsendte aftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra kommunen, og kan anses for en databehandleraftale.

Konklusioner vedrørende databehandleraftaler

På grundlag af de modtagne oplysninger kan Datatilsynets med tilfredshed konkludere, at

  • Assens Kommune i vidt omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler, og
  • det fremsendte eksempel på en aftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra kommunen, og aftalen er således en databehandleraftale.

Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne til fulde behandles i afsnit 5 nedenfor.

4. Kommunens kontrol med databehandlere
Kommunen skulle for hver af de anvendte databehandlere også oplyse, om kommunen har påset5, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Assens Kommunes besvarelser viser, at sikkerheden er påset hos under halvdelen af de anvendte databehandlere. Der er en overvejende del af de anvendte databehandlere, hvor dette ikke er sket. Kommunen har begrundet, hvorfor dette er tilfældet, samt beskrevet, i hvilket omfang kommunen agter at påse dette fremover.

Konklusioner vedrørende kommunens kontrol med databehandlere

På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at

  • Assens Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

5. Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere

  1. at Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler,
  2. at Assens Kommune efterlever kravet om årlig gennemgang af sikkerhedsreglerne,
  3. at Assens Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, men
  4. at Assens Kommune ikke har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, og
  5. at Assens Kommune ikke i tilstrækkeligt omfang har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede,
  6. at Assens Kommune i vidt omfang har levet op til persondatalovens krav om skriftlige databehandleraftaler,
  7. at et fremsendt eksempel på en aftale indeholder en klar tilkendegivelse om, at databehandleren alene handler efter instruks fra kommunen, og at denne aftale således er en databehandleraftale, og
  8. at Assens Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses. 

Efter Datatilsynets opfattelse er der med pkt. 4, 5, 8 og i en mindre grad pkt. 6 tale om mangler i Assens Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget beklageligt

Datatilsynet forventer, at Assens Kommune herefter indgår databehandleraftale med samtlige af kommunens databehandlere. Dette gælder også databehandleren Tech Mahindra, som efter det oplyste er såkaldt underdatabehandler for Assens Kommune i forbindelse med kommunens brug af KMD A/S som databehandler. Det følger således af persondatalovens § 42, stk. 2, at der skal foreligge en skriftlig databehandleraftale mellem kommunen og databehandleren. Den gældende persondatalov skelner således ikke mellem databehandlere og underdatabehandlere i forhold til kravet om databehandleraftaler. I den forbindelse er det op til Assens Kommune at beslutte, om kommunen vil bemyndige KMD til at indgå aftalen på kommunens vegne eller selv vil indgå denne.

Datatilsynet skal anmode Assens Kommune om en redegørelse for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover – herunder de i pkt. 4, 5, 6 og 8 omtalte områder.

Kommunens svar bedes fremsendt, så det er tilsynet i hænde senest den 12. december 2016.

6. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra Assens Kommune.

 

_________________________________

1 Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr.
2 Tilsynets stikprøve fokuserede på kravet om, at der skal være fastsat særlige retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter, jf. sikkerhedsbekendtgørelsens § 7, stk. 2.

3 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
4 Datatilsynet har udvalgt Assens Kommunes databehandleraftale med kommunens databehandler Avaleo ApS.

5 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser