Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Region Syddanmark

Brevdato: 08.03.17

Journalnummer: 2016-622-0017

Region Syddanmark var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Efter anmodning fra tilsynet har regionen således i 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet.

Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Ved tilsynet med Region Syddanmark har fokus været på behandling af personoplysninger på Kolding Sygehus.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Syddanmark ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Syddanmark ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Syddanmark ikke konsekvent har levet op til persondatalovens krav om indgåelse af skriftlige databehandleraftale.
  4. At Region Syddanmark ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Region Syddanmark ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Region Syddanmark om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Region Syddanmark besvaret en række spørgsmål til afklaring af, hvorvidt de af regionen fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen1, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden2.

Region Syddanmark har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at regionen årligt har foretaget en gennemgang af sine uddybende sikkerhedsregler. Regionen har samtidig oplyst tidspunktet for sidste og næstsidste gennemgang.

Efter en gennemgang af Region Syddanmarks svar på tilsynets spørgsmål om tidspunkt for sidste og næstsidste gennemgang er det imidlertid Datatilsynets vurdering, at regionen ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.

Datatilsynet har herved lagt vægt på, at dokumentet ”Retningslinjen for Sikkerhed og Fortrolighed”, som er en del af regionens uddybende sikkerhedsregler, ikke er gennemgået i perioden 13. juni 2013 – 20. juni 2016.

2. Regionens eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn af Region Syddanmark anmodet regionen om at oplyse, om der er fastsat retningslinjer for regionens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for regionen, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt regionen om at sende tilsynet en kopi af disse retningslinjer. 

Region Syddanmark har i den sammenhæng oplyst, at der er fastsat retningslinjer for regionens eget tilsyn, og regionen har ligeledes vedlagt en kopi af det relevante afsnit i retningslinjerne.

Efter en gennemgang af de fremsendte retningslinjer er det imidlertid Datatilsynets vurdering, at retningslinjerne ikke er tilstrækkelige i forhold til sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved lagt vægt på, at det ikke ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for regionen i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af regionen.

Datatilsynet må på den baggrund konkludere, at Region Syddanmark ikke har fastsat retningslinjer for regionens eget tilsyn.
 
3. Databehandleraftaler
3.1. Tilsyn med om der er indgået databehandleraftaler
I forbindelse med tilsynet med Region Syddanmark foretog Datatilsynet en stikprøvevis undersøgelse af, om regionen efterlever persondatalovens krav3 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Denne stikprøveundersøgelse blev udført således, at Datatilsynet bad regionen om at udfylde et oplysningsskema for hver af de databehandlere, som regionen benytter til behandling af personoplysninger i forbindelse med elektroniske patientjournaler på Kolding Sygehus. Datatilsynet spurgte samtidig om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis der blev oplyst, at der benyttes underdatabehandlere, bad Datatilsynet om, at der også blev udfyldt et oplysningsskema for hver af disse.

Herefter bad Datatilsynet om at få én af de omhandlede databehandleraftaler indsendt til konstatering af, at der var indgået den krævede aftale, hvilket regionen gjorde.

Datatilsynet kunne i den forbindelse konstatere, at Region Syddanmark havde indgået en databehandleraftale med den databehandler, som tilsynet bad om at se en kopi af databehandleraftale med.

Region Syddanmark oplyste dog endvidere, at regionen kun har indgået databehandleraftaler med halvdelen af sine databehandlere. 
 
3.2. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den modtagne databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra regionen.

Den af Region Syddanmark fremsendte databehandleraftale indeholdte en formulering om, at databehandleren alene handler efter instruks fra regionen, hvorfor den umiddelbart lever op til minimumskravet i persondataloven.
 
3.3. Kontrol af om Region Syddanmark har påset sikkerheden hos sin databehandler
Regionen skulle for hver af de anvendte databehandlere oplyse, om regionen har påset4, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Region Syddanmark oplyste i den sammenhæng, at regionen ikke har påset, om de anvendte databehandlere har truffet de påkrævede sikkerhedsforanstaltninger.

På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Region Syddanmark ikke konsekvent har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale, at en modtagen aftale indeholder en formulering om, at databehandleren alene handler efter instruks fra regionen, og at regionen ikke konsekvent har levet op til persondatalovens krav om, at sikkerheden hos de anvendte databehandlerne skal påses.

4. Sammenfatning og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Region Syddanmark ikke har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Region Syddanmark ikke har fastsat retningslinjer for regionens eget tilsyn.
  3. At Region Syddanmark ikke konsekvent har levet op til persondatalovens krav om indgåelse af skriftlige databehandleraftale.
  4. At Region Syddanmark ikke har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Region Syddanmark ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Region Syddanmark om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at regionen fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra Region Syddanmark.

 

_________________________________

1Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
2Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler der faktiske forhold i myndigheden.
3Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
4Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser