Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Beskæftigelsesministeriet

Brevdato: 25.09.17

Journalnummer: 2016-621-0038

Beskæftigelsesministeriet var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Beskæftigelsesministeriet i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Beskæftigelsesministeriets kontrol med databehandlere har fokus været på løn-, regnskab og personaleadministration samt på sagsbehandling ved Beskæftigelsesministeriets departement.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Beskæftigelsesministeriet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Beskæftigelsesministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Beskæftigelsesministeriet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens2 krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Beskæftigelsesministeriet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Beskæftigelsesministeriet besvaret en række spørgsmål til afklaring af, om de af Beskæftigelsesministeriet fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen3, er blevet gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden4.

Beskæftigelsesministeriet har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden ikke konsekvent har foretaget årlig gennemgang af sine uddybende sikkerhedsregler.

2. Beskæftigelsesministeriets eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Beskæftigelsesministeriet anmodet Beskæftigelsesministeriet om at oplyse, om der er fastsat retningslinjer for Beskæftigelsesministeriets eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Beskæftigelsesministeriet, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Beskæftigelsesministeriet om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Til besvarelse af ovennævnte sendte Beskæftigelsesministeriet Datatilsynet et uddrag af ministeriets informationssikkerhedspolitik. Efter Beskæftigelsesministeriets opfattelse indeholder dette uddrag retningslinjer for ministeriets eget tilsyn. 

Efter en gennemgang af det fremsendte uddrag af Beskæftigelsesministeriets informationssikkerhedspolitik er det Datatilsynets vurdering, at uddraget ikke udgør tilstrækkelige retningslinjer for Beskæftigelsesministeriets eget tilsyn, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved bl.a. lagt vægt på, at det ikke ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for myndigheden i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af myndigheden.

Datatilsynet må på den baggrund konkludere, at Beskæftigelsesministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Beskæftigelsesministeriet foretog Datatilsynet en stikprøvevis undersøgelse af, om Beskæftigelsesministeriet efterlever persondatalovens krav5 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Beskæftigelsesministeriet har påset6, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Beskæftigelsesministeriet med anmodning om, at Beskæftigelsesministeriet ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Beskæftigelsesministeriet benytter sig af i forbindelse med det ovenfor angivne fokusområde. Beskæftigelsesministeriet kunne i den anledning samtidig vurdere, om Beskæftigelsesministeriet kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
3.2.1. Beskæftigelsesministeriet skulle for hver af de anvendte databehandlere oplyse, om Beskæftigelsesministeriet efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Ved en gennemgang af de af Beskæftigelsesministeriet udfyldte oplysningsskemaer samt af Beskæftigelsesministeriets supplerende udtalelser, kan Datatilsynet konstatere, at Beskæftigelsesministeriet har indgået databehandleraftaler med under halvdelen af de anvendte databehandlere.

3.2.2. I forhold til de underdatabehandlere, som anvendes med Moderniseringsstyrelsen som primær databehandler, har Beskæftigelsesministeriet specifikt oplyst, at det er Beskæftigelsesministeriets opfattelse, at § 11, stk. 1, i bekendtgørelse om statens regnskabsvæsen mv.7, forpligter ministeriet til at anvende Moderniseringsstyrelsens systemer, hvorfor det – efter ministeriets opfattelse – ikke giver mening at fastslå, at Beskæftigelsesministeriet kan vælge at bemyndige eller ikke at bemyndige Moderniseringsstyrelsen til at indgå underdatabehandleraftaler, og at indgåelse af databehandleraftaler er en myndighedsopgave for Moderniseringsstyrelsen.

Beskæftigelsesministeriet har endvidere oplyst, at den indgåede databehandleraftale med Moderniseringsstyrelsen, i sin ordlyd, forudsætter, at Moderniseringsstyrelsen indgår underdatabehandleraftaler, og at Beskæftigelsesministeriet derfor har givet mandat til indgåelse af aftalerne.

Af § 11, stk. 1, i ovennævnte bekendtgørelse følger det, at institutioner, der er omfattet af § 2, stk. 1, er forpligtet til at anvende det af Økonomistyrelsen administrerede koncernsystem, jf. kapitel 8.

Af § 2, stk. 1, i samme bekendtgørelse følger det i øvrigt, at bestemmelserne om statens regnskabsvæsen omfatter alle statsinstitutioner, dvs. departementer, underliggende institutioner, særlige fonde mv., samt selvejende institutioner, der er optaget på bevillingslovene med en driftsbevilling på lige fod med de egentlige statsinstitutioner.

Efter en gennemgang af bekendtgørelse om statens regnskabsvæsen mv. – samt det af Beskæftigelsesministeriet oplyste – er det Datatilsynets opfattelse, at Beskæftigelsesministeriet i vidt omfang ikke har efterlevet persondatalovens § 42, stk. 2, for så vidt angår de underdatabehandlere, som Beskæftigelsesministeriet anvender med Moderniseringsstyrelsen som primær databehandler.

Datatilsynet har herved bl.a. lagt vægt på, at § 11, stk. 1, i bekendtgørelse om statens regnskabsvæsen mv. ikke ses at opfylde kravet i persondatalovens § 42, stk. 2, om indgåelse af databehandleraftaler.

Hertil kommer, at persondatalovens § 42, stk. 2, i øvrigt ikke ses at være opfyldt i forhold til underdatabehandlerne, idet Beskæftigelsesministeriet ikke ses at have givet bemyndigelse til indgåelse af databehandleraftaler, ligesom der ikke ses at foreligge direkte aftaler parterne imellem.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Beskæftigelsesministeriet fremsendte databehandleraftale indeholder en formulering om, at databehandleren (Arbejdsmarkedets Erhvervssikring) alene handler efter instruks fra Beskæftigelsesministeriet, og aftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

3.4. Kontrol af om Beskæftigelsesministeriet har påset sikkerheden hos sin databehandler
3.4.1.
Beskæftigelsesministeriet skulle for hver af de anvendte databehandlere oplyse, om Beskæftigelsesministeriet har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Ved en gennemgang af de af Beskæftigelsesministeriet udfyldte oplysningsskemaer, samt af Beskæftigelsesministeriets supplerende udtalelser, kan Datatilsynet konstatere, at Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger.

3.4.2. For så vidt angår de underdatabehandlere, som anvendes med Moderniseringsstyrelsen som primær databehandler, har Beskæftigelsesministeriet oplyst, om de udførte kontroller, at kontrolaktiviteterne bl.a. har bestået i en kombination af tilsyn ved Rigsrevisionen, afholdelse af statusmøder og interne kontroller samt indhentelse af revisionserklæringer fra eksterne partere.

3.4.2.1. Om Rigsrevisionens tilsyn har Beskæftigelsesministeriet oplyst, at Rigsrevisionen udfører årlig revision af kernesystemer og stikprøverevision af øvrige systemer, som udbydes af Moderniseringsstyrelsen.

Beskæftigelsesministeriet har endvidere oplyst, at Rigsrevisionens tilsyn angår Moderniseringsstyrelsens systemers tekniske og organisatoriske sikringsforanstaltninger, herunder håndteringen af persondata, samt at kontrollen er sket i overensstemmelse med persondatalovens § 42, stk. 1.

Herudover har Beskæftigelsesministeriet oplyst, at Rigsrevisionen ikke udleverer revisionserklæringer til Beskæftigelsesministeriet eller til andre myndigheder, men at Rigsrevisionen dog offentliggør en årlig beretning om statens regnskaber, hvori en iagttagelse af persondatalovens regler – efter ministeriets opfattelse – ikke kan anses for at falde uden for beretningens fokusområde.

Endelig har Beskæftigelsesministeriet oplyst, at det fremgår af databehandleraftalen med Moderniseringsstyrelsen, at eventuelle anmærkninger i forlængelse af Rigsrevisionens kontrol, vil fremgå af den årlige beretning om statens regnskaber.

Beskæftigelsesministeriet har efterfølgende bl.a. præciseret, at Rigsrevisionen hverken kan eller skal føre revision af Moderniseringsstyrelsens underleverandører.

Det er Datatilsynets opfattelse, at Beskæftigelsesministeriet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontroller.

Datatilsynet har i den forbindelse bl.a. lagt vægt på, at Rigsrevisionen ikke er forpligtet til at påse sikkerheden hos databehandlere – hverken i henhold til en aftale med de statslige myndigheder, eller i henhold til lov – at Rigsrevisionen egenhændig beslutter, hvad der skal være fokus for revisionen, og at Rigsrevisionens kontrol af statslige myndigheder ikke sker som led i myndighedernes egenskab af databehandlere.

3.4.2.2. Hvad angår afholdelsen af statusmøder og interne kontroller har Beskæftigelsesministeriet oplyst, at der under statusmøderne bl.a. har været drøftet status på eventuelle fejl i systemet, ændringsønsker til det konkrete system, og at der har været mulighed for at drøfte alle andre relevante emner for Moderniseringsstyrelsens systemer.

Beskæftigelsesministeriet har ikke nærmere beskrevet, hvordan de afholdte statusmøder og interne kontroller har gået på en kontrol af databehandlernes overholdelse af persondataloven og sikkerhedsbekendtgørelsens regler, ligesom det ikke er oplyst, om Beskæftigelsesministeriet selv har deltaget i statusmøderne.

Datatilsynet finder derfor ikke at kunne lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med anvendte databehandlere.

3.4.2.3. For så vidt angår de revisionserklæringer, der er udarbejdet af andre eksterne tredjeparter, har Beskæftigelsesministeriet oplyst, at Moderniseringsstyrelsen ikke udleverer revisionserklæringerne til Beskæftigelsesministeriet eller andre myndigheder, men at styrelsen dog indestår for bl.a. opfølgningen på revisionserklæringerne.

Selvom de revisionserklæringer der er udarbejdet af eksterne tredjeparter formentlig udgør en kontrol i et eller andet omfang, er det Datatilsynets opfattelse, at de i den konkrete sammenhæng ikke er tilstrækkelige.

I den forbindelse har Datatilsynet bl.a. lagt vægt på, at Beskæftigelsesministeriet, som dataansvarlig, skal have mulighed for at blive gjort bekendt med udarbejdede revisionserklæringer fra eksterne parter, idet Beskæftigelsesministeriet ellers ikke vil kunne sikre en effektiv kontrol m.m.

3.4.2.4. Sammenfattende må Datatilsynet på baggrund af ovennævnte lægge til grund, at der i et vist omfang er foretaget en kontrol med de databehandlere, som Beskæftigelsesministeriet anvender med Moderniseringsstyrelsen som primær databehandler.

Datatilsynet finder imidlertid ikke at kunne konkludere, at den udførte kontrol har været i overensstemmelse med persondatalovens § 42, stk. 1, sidste punktum, idet Beskæftigelsesministeriet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontroller, idet Datatilsynet ikke kan lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med anvendte databehandlere, og idet de eksternt udarbejdede revisionserklæringer i den konkrete sammenhæng ikke er tilstrækkelige.

3.5. Fremadrettede initiativer
Som nævnt under afsnit 3.2.2. og 3.4.2. har Datatilsynet konstateret, at Beskæftigelsesministeriet ikke konsekvent har iagttaget persondatalovens §§ 42, stk. 1, sidste punktum, og § 42, stk. 2.

Baseret på Datatilsynets drøftelser med Beskæftigelsesministeriet og andre myndigheder har Datatilsynet kunnet konstatere, at den manglende efterlevelse af persondataloven bl.a. skyldes en række uklarheder og misforståelser vedrørende forholdet mellem Beskæftigelsesministeriet og Moderniseringsstyrelsen m.fl.

På denne baggrund – og da uklarhederne mv. angår mange statslige myndigheder – har Datatilsynet og Moderniseringsstyrelsen i foråret 2017 igangsat et arbejde, hvor der vil blive set på, hvordan statslige myndigheders anvendelse af Moderniseringsstyrelsens systemer – samt eventuelt Statens Administration og andres systemer – kan tilrettelægges på den mest hensigtsmæssige måde fremadrettet.

I den forbindelse arbejdes der bl.a. på en løsning, hvor man går væk fra den nuværende databehandlerkonstruktion og i stedet benytter en konstruktion med delt dataansvar mellem Moderniseringsstyrelsen og de enkelte relevante statslige myndigheder, da en sådan konstruktion bedre må antages at afspejle de faktiske forhold.

Datatilsynet og Moderniseringsstyrelsens arbejde forventes afsluttet i efteråret 2017 og vil herefter blive meldt ud til de relevante statslige myndigheder.

3.6. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har indgået databehandleraftaler, at den databehandleraftale, der stikprøvevis blev gennemgået indeholdt en formulering om, at databehandleren alene handler efter instruks fra Beskæftigelsesministeriet, og at Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har iagttaget persondatalovens regler om at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Beskæftigelsesministeriet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Beskæftigelsesministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Beskæftigelsesministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Beskæftigelsesministeriet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Beskæftigelsesministeriet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside en uge fra dette brevs dato.

___________________________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelsen nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning.
3 Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
4 Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
5 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
6 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
7 Bekendtgørelse nr. 70 af 27. januar 2011 om statens regnskabsvæsen mv.
 

Afgørelser efter emneord:


Fritekstsøgning i afgørelser