Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Sundhedsdatastyrelsen

Brevdato: 25.09.17

Journalnummer: 2016-621-0044

Sundhedsdatastyrelsen var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Sundhedsdatastyrelsen i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Sundhedsdatastyrelsens kontrol med databehandlere har fokus været på Det Fælles Medicinkort, Vævsanvendelsesregisteret, Den Nationale Børnedatabase, Sygesikringsregisteret, Det Danske Vaccinationssystem samt løn-, regnskab og personaleadministration.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Sundhedsdatastyrelsen ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Sundhedsdatastyrelsen ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Sundhedsdatastyrelsen ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens2 krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Sundhedsdatastyrelsen om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Sundhedsdatastyrelsen besvaret en række spørgsmål til afklaring af, om de af Sundhedsdatastyrelsen fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen3, er blevet gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden4.

Sundhedsdatastyrelsen har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden ikke konsekvent har foretaget årlig gennemgang af sine uddybende sikkerhedsregler.

2. Sundhedsdatastyrelsens eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Sundhedsdatastyrelsen anmodet Sundhedsdatastyrelsen om at oplyse, om der er fastsat retningslinjer for Sundhedsdatastyrelsens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Sundhedsdatastyrelsen, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Sundhedsdatastyrelsen om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Til besvarelse af ovennævnte sendte Sundhedsdatastyrelsen Datatilsynet et dokument benævnt ”Tilsyn med informationssikkerhed på ministerområdet”.

Efter en gennemgang af det fremsendte dokument er det Datatilsynets vurdering, at dokumentet ikke udgør tilstrækkelige retningslinjer for Sundhedsdatastyrelsens eget tilsyn, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved bl.a. lagt vægt på, at det ikke ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for myndigheden i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af myndigheden.

Datatilsynet må på den baggrund konkludere, at Sundhedsdatastyrelsen ikke har fastsat fornødne retningslinjer for sit eget tilsyn.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Sundhedsdatastyrelsen foretog Datatilsynet en stikprøvevis undersøgelse af, om Sundhedsdatastyrelsen efterlever persondatalovens krav5 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Sundhedsdatastyrelsen har påset6, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Sundhedsdatastyrelsen med anmodning om, at Sundhedsdatastyrelsen ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Sundhedsdatastyrelsen benytter sig af i forbindelse med det ovenfor angivne fokusområde. Sundhedsdatastyrelsen kunne i den anledning samtidig vurdere, om Sundhedsdatastyrelsen kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
3.2.1. Sundhedsdatastyrelsen skulle for hver af de anvendte databehandlere oplyse, om Sundhedsdatastyrelsen efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Ved en gennemgang af de af Sundhedsdatastyrelsen udfyldte oplysningsskemaer samt af Sundhedsdatastyrelsens supplerende udtalelser, kan Datatilsynet konstatere, at Sundhedsdatastyrelsen har indgået databehandleraftaler med under halvdelen af de anvendte databehandlere.

3.2.2. I forhold til de underdatabehandlere, som anvendes med Moderniseringsstyrelsen som primær databehandler, har Sundhedsdatastyrelsen specifikt oplyst, at Sundhedsdatastyrelsen ikke har givet Moderniseringsstyrelsen bemyndigelse til at indgå databehandleraftaler med underdatabehandlerne.

Sundhedsdatastyrelsen er – til trods for opfordringer hertil fra Datatilsynet – ikke vendt tilbage med et svar på, om Sundhedsdatastyrelsen har indgået direkte aftaler med underdatabehandlerne.

På denne baggrund må Datatilsynet lægge til grund, at Sundhedsdatastyrelsen i vidt omfang ikke har efterlevet persondatalovens § 42, stk. 2, for så vidt angår de underdatabehandlere, som Sundhedsdatastyrelsen anvender med Moderniseringsstyrelsen som primær databehandler.

Datatilsynet har herved lagt vægt på, at Sundhedsdatastyrelsen ikke ses at have givet bemyndigelse til indgåelse af databehandleraftaler, ligesom der ikke ses at foreligge direkte aftaler parterne imellem.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Sundhedsdatastyrelsen fremsendte databehandleraftale indeholder en formulering om, at databehandleren (Scales A/S) alene handler efter instruks fra Sundhedsdatastyrelsen, og aftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

3.4. Kontrol af om Sundhedsdatastyrelsen har påset sikkerheden hos sin databehandler
Sundhedsdatastyrelsen skulle for hver af de anvendte databehandlere oplyse, om Sundhedsdatastyrelsen har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Ved en gennemgang af de af Sundhedsdatastyrelsen udfyldte oplysningsskemaer, samt af Sundhedsdatastyrelsens supplerende udtalelser, kan Datatilsynet konstatere, at Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger.

Det bemærkes, at Sundhedsdatastyrelsen for så vidt angår de underdatabehandlere, som anvendes med Moderniseringsstyrelsen som primær databehandler, har bekræftet, at der ikke har været ført kontrol med underdatabehandlerne på de områder, der er omfattet af aftaler med Moderniseringsstyrelsen. 

3.5. Fremadrettede initiativer
Som nævnt under afsnit 3.2.2. og 3.4.2. har Datatilsynet konstateret, at Sundhedsdatastyrelsen ikke konsekvent har iagttaget persondatalovens §§ 42, stk. 1, sidste punktum, og § 42, stk. 2.

Baseret på Datatilsynets drøftelser med Sundhedsdatastyrelsen og andre myndigheder har Datatilsynet kunnet konstatere, at den manglende efterlevelse af persondataloven bl.a. skyldes en række uklarheder og misforståelser vedrørende forholdet mellem Sundhedsdatastyrelsen og Moderniseringsstyrelsen m.fl.

På denne baggrund – og da uklarhederne mv. angår mange statslige myndigheder – har Datatilsynet og Moderniseringsstyrelsen i foråret 2017 igangsat et arbejde, hvor der vil blive set på, hvordan statslige myndigheders anvendelse af Moderniseringsstyrelsens systemer – samt eventuelt Statens Administration og andres systemer – kan tilrettelægges på den mest hensigtsmæssige måde fremadrettet.

I den forbindelse arbejdes der bl.a. på en løsning, hvor man går væk fra den nuværende databehandlerkonstruktion og i stedet benytter en konstruktion med delt dataansvar mellem Moderniseringsstyrelsen og de enkelte relevante statslige myndigheder, da en sådan konstruktion bedre må antages at afspejle de faktiske forhold.

Datatilsynet og Moderniseringsstyrelsens arbejde forventes afsluttet i efteråret 2017 og vil herefter blive meldt ud til de relevante statslige myndigheder.

3.6. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har indgået databehandleraftaler, at den databehandleraftale, der stikprøvevis blev gennemgået indeholdt en formulering om, at databehandleren alene handler efter instruks fra Sundhedsdatastyrelsen, og at Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har iagttaget persondatalovens regler om at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Sundhedsdatastyrelsen ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Sundhedsdatastyrelsen ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Sundhedsdatastyrelsen for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Sundhedsdatastyrelsen ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Sundhedsdatastyrelsen om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside en uge fra dette brevs dato.

____________________________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelsen nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning.
3 Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
4 Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
5 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
6 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser