Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Region Hovedstaden

Brevdato: 08.03.17

Journalnummer: 2016-622-0021

Region Hovedstaden var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Efter anmodning fra tilsynet har regionen således i 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på: 

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Ved tilsynet med Region Hovedstaden har fokus været på behandling af personoplysninger på Gentofte Hospital.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Hovedstaden ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Hovedstaden ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Hovedstaden har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale for så vidt angår en stikprøvevis indhentet aftale.
  4. At Region Hovedstaden ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at Region Hovedstaden ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2 og 4.

På den baggrund skal Datatilsynet anmode Region Hovedstaden om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Region Hovedstaden besvaret en række spørgsmål til afklaring af, hvorvidt de af regionen fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen1, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden2.

Region Hovedstaden har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at regionen ikke årligt har foretaget en gennemgang af sine uddybende sikkerhedsregler. Regionen har samtidig begrundet den manglende årlige gennemgang med, at regionen ikke for nuværende har en formaliseret proces for årlig gennemgang, men at regionen har erkendt et behov for formulering af et ledelsessystem for informationssikkerhed forankret i ISO 27001 og ISO 27002.

På grundlag af de modtagne oplysninger kan Datatilsynet således konkludere, at Region Hovedstaden ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.

2. Regionens eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn af Region Hovedstaden anmodet regionen om at oplyse, om der er fastsat retningslinjer for regionens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for regionen, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt regionen om at sende tilsynet en kopi af disse retningslinjer.

Region Hovedstaden har i den sammenhæng oplyst, at der er fastsat retningslinjer for regionens eget tilsyn, og regionen har ligeledes vedlagt en kopi af det relevante afsnit i retningslinjerne.

Efter en gennemgang af de fremsendte retningslinjer er det imidlertid Datatilsynets vurdering, at retningslinjerne ikke er tilstrækkelige i forhold til sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved lagt vægt på, at det ikke ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for regionen i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af regionen.

Datatilsynet må på den baggrund konkludere, at Region Hovedstaden ikke har fastsat retningslinjer for regionens eget tilsyn.
 
3. Databehandleraftaler
3.1. Tilsyn med om der er indgået databehandleraftaler
I forbindelse med tilsynet med Region Hovedstaden foretog Datatilsynet en stikprøvevis undersøgelse af, om regionen efterlever persondatalovens krav3 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Denne stikprøveundersøgelse blev udført således, at Datatilsynet bad regionen om at udfylde et oplysningsskema for hver af de databehandlere, som regionen benytter til behandling af personoplysninger i forbindelse med elektroniske patientjournaler på Gentofte Hospital. Datatilsynet spurgte samtidig om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis der blev oplyst, at der benyttes underdatabehandlere, bad Datatilsynet om, at der også blev udfyldt et oplysningsskema for hver af disse.

Herefter bad Datatilsynet om at få én af de omhandlede databehandleraftaler indsendt til konstatering af, at der var indgået den krævede aftale, hvilket regionen gjorde.
 
3.2. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den modtagne databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra regionen.

Den af Region Hovedstaden fremsendte databehandleraftale indeholdte en formulering om, at databehandleren alene handler efter instruks fra regionen, hvorfor den umiddelbart lever op til minimumskravet i persondataloven.

3.3. Kontrol af om Region Hovedstaden har påset sikkerheden hos sin databehandler
Regionen skulle for hver af de anvendte databehandlere også oplyse, om regionen har påset4, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Region Hovedstaden oplyste i den sammenhæng, at regionen ikke har påset, om de anvendte databehandlere har truffet de påkrævede sikkerhedsforanstaltninger.

På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Region Hovedstaden har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale for så vidt angår den stikprøvevis indhentede aftale, at den modtagne aftale indeholder en formulering om, at databehandleren alene handler efter instruks fra regionen, men at regionen ikke har levet op til persondatalovens krav om, at sikkerheden hos de anvendte databehandlere skal påses.

4. Sammenfatning og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Hovedstaden ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Hovedstaden ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Hovedstaden har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale for så vidt angår en stikprøvevis indhentet aftale.
  4. At Region Hovedstaden ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at Region Hovedstaden ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2 og 4.

På den baggrund skal Datatilsynet anmode Region Hovedstaden om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
 
5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra Region Hovedstaden.

 

_________________________________

1Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
2Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler der faktiske forhold i myndigheden.
3Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
4Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser