Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Region Midtjylland

Brevdato: 15.03.17

Journalnummer: 2016-622-0020

Region Midtjylland var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Efter anmodning fra tilsynet har regionen således i 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Ved tilsynet med Region Midtjylland har fokus været på behandling af personoplysninger på Regionshospitalet Viborg.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Midtjylland har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Midtjylland ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Midtjylland ikke har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Region Midtjylland ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at Region Midtjylland ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Region Midtjylland om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
 
En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Region Midtjylland besvaret en række spørgsmål til afklaring af, hvorvidt de af regionen fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen1, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden2.

Region Midtjylland har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at regionen årligt har foretaget en gennemgang af sine uddybende sikkerhedsregler. Regionen har samtidig oplyst Datatilsynet tidspunktet for sidste og næstsidste gennemgang.

På grundlag af de modtagne oplysninger kan Datatilsynet således konkludere, at Region Midtjylland har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.

2. Regionens eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn af Region Midtjylland anmodet regionen om at oplyse, om der er fastsat retningslinjer for regionens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for regionen, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt regionen om at sende tilsynet en kopi af disse retningslinjer. 

Region Midtjylland har i den sammenhæng oplyst, at regionen ikke har fastsat retningslinjer for regionens eget tilsyn. Regionen har begrundet den manglende fastsættelse af retningslinjer for regionens eget tilsyn med, at regionen ikke for nuværende har en egentlig retningslinje, som konkret kortlægger regionens tilsyn med de sikkerhedsforanstaltninger, der er fastsat, men at denne er under udarbejdelse.

Datatilsynet må på den baggrund konkludere, at Region Midtjylland ikke har fastsat retningslinjer for regionens eget tilsyn.
 
3. Databehandleraftaler
3.1. Tilsyn med om der er indgået databehandleraftaler
I forbindelse med tilsynet med Region Midtjylland foretog Datatilsynet en stikprøvevis undersøgelse af, om regionen efterlever persondatalovens krav3 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Denne stikprøveundersøgelse blev udført således, at Datatilsynet bad regionen om at udfylde et oplysningsskema for hver af de databehandlere, som regionen benytter til behandling af personoplysninger i forbindelse med elektroniske patientjournaler på Regionshospitalet Viborg. Datatilsynet spurgte samtidig om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis der blev oplyst, at der benyttes underdatabehandlere, bad Datatilsynet om, at der også blev udfyldt et oplysningsskema for hver af disse.

Region Midtjylland oplyste i den forbindelse, at regionen kun benytter én databehandler, og at der ikke foreligger en databehandleraftale med denne.
 
3.2. Kontrol af om Region Midtjylland har påset sikkerheden hos sin databehandler
Regionen skulle for hver af de anvendte databehandlere også oplyse, om regionen har påset4, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Region Midtjylland oplyste i den sammenhæng, at regionen ikke har påset, om den anvendte databehandler har truffet de påkrævede sikkerhedsforanstaltninger. Regionen begrundede den manglende kontrol med, at databehandlerens adgang logges, og at der føres kontrol hermed. Herudover begrundede regionen den manglende kontrol med, at databehandlerens ansatte underskriver en fortrolighedsaftale inden tildeling af adgang, men at regionen samtidig arbejder på udarbejdelse af procedure for kontrol af regionens databehandlere.

På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Region Midtjylland ikke har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale, og at regionen ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

4. Sammenfatning og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Midtjylland har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Midtjylland ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Midtjylland ikke har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Region Midtjylland ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set kritisabelt, at Region Midtjylland ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Region Midtjylland om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
 
5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra Region Midtjylland.

______________________________________

1Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
2Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler der faktiske forhold i myndigheden.
3Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
4Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser