Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Vejle Kommune

Brevdato: 11.11.16

Journalnummer: 2016-623-0062

Vejle Kommune er blandt de myndigheder, som tilsynet har udvalgt til tilsyn i 2016.  Efter anmodning fra Datatilsynet har kommunen udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til Datatilsynet. 

Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserer i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere


Sammenfattende kan Datatilsynet konkludere

  1. at Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, men
  2. at Vejle Kommune ikke til fulde efterlever kravet om årlig gennemgang af sikkerhedsreglerne,
  3. at Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og
  4. at Vejle Kommune har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, men
  5. at Vejle Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede,
  6. at Vejle Kommune tilsyneladende i nogen grad har levet op til persondatalovens krav om skriftlige databehandleraftaler, men
  7. at det grundet den manglende modtagelse af en indgået databehandleraftale ikke kan afklares, om der er tale om en reel databehandleraftale,
  8. at Vejle Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses, og
  9. at Vejle Kommune ikke i en tilfredsstillende grad har bidraget til gennemførelsen af tilsynet.

Efter Datatilsynets opfattelse er der med pkt. 2, 5, 8, 9 og til dels pkt. 6 tale om meget omfattende mangler i Vejle Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget kritisabelt.

Datatilsynet har ved brev af dags dato underrettet byrådet i Vejle Kommune om de konstaterede overtrædelser af persondataloven.

En nærmere gennemgang af sagen følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Vejle Kommune indsendt et eksemplar af de uddybende sikkerhedsregler, kommunen har fastsat til uddybning af reglerne i sikkerhedsbekendtgørelsen1. Datatilsynet har foretaget stikprøvevis2 opslag i disse og eventuelt bedt kommunen afklare, om nærmere retningslinjer findes. Det skal for god ordens skyld understreges, at Datatilsynet ikke har gennemgået de uddybende sikkerhedsregler i alle detaljer, og at tilsynet således ikke med dette tilsyn kan siges at have ”godkendt” reglerne.

Vejle Kommune har endvidere besvaret spørgsmål fra Datatilsynet til afklaring af, hvorvidt de uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen, gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden.

Kommunen har svaret nej på Datatilsynets spørgsmål om årlig gennemgang af de uddybende sikkerhedsregler og har begrundet svaret således, at der indtil 2015 har været afsat ressourcer til begrænset gennemgang af de uddybende sikkerhedsregler. Vejle Kommune har således oplyst, at den sidste gennemgang fandt sted i 2013.

Konklusioner vedrørende uddybende sikkerhedsregler
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at

  • Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, men at
  • Vejle Kommune ikke til fulde efterlever kravet om årlig gennemgang af sikkerhedsreglerne.

Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 6 nedenfor.


2. Kommunens eget tilsyn
Datatilsynet har spurgt, om kommunen har fastsat retningslinjer for myndighedens eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for kommunen, jf. sikkerhedsbekendtgørelsens § 5, stk. 2.

Vejle Kommune har svaret ja til, at der er retningslinjer for kommunens eget tilsyn og har henvist til de relevante afsnit i de uddybende sikkerhedsregler.

I oplysningsskemaet anmodede Datatilsynet endvidere – som en stikprøve – kommunen om at oplyse, om og hvordan der er ført tilsyn på to områder.

Vejle Kommune har svaret ja til, at der er ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, og har beskrevet hvordan dette foregår.

Vejle Kommune har svaret ja til, at der er ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede, jf. § 17, stk. 1, i sikkerhedsbekendtgørelsen, og har beskrevet hvordan dette foregår.

Efter beskrivelsen kan det imidlertid konstateres, at der ikke føres tilsyn med, om kravene i sikkerhedsbekendtgørelsens § 17 overholdes. Vejle Kommunes beskrivelse angår således udelukkende, hvordan kravene i § 17 efterleves løbende i forbindelse med ansættelse og fratræden.

Konklusioner vedrørende myndighedens eget tilsyn
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at

  • Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og at
  • Vejle Kommune har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, men at
  • Vejle Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede.

Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 6 nedenfor.

3. Databehandleraftaler
Datatilsynets tilsyn med Vejle Kommune omfattede en stikprøvevis undersøgelse af kommunens efterlevelse af persondatalovens krav3 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

I forbindelse med denne stikprøveundersøgelse har Datatilsynet udvalgt fem områder, hvor kommunen er blevet bedt om at oplyse om brugen af databehandlere.

Vejle Kommune har besvaret tilsynets spørgsmål om, hvor mange databehandlere kommunen benytter på de fem områder, således:

  • Beskæftigelse: 5
  • Pas og kørekort: 1
  • Børnepasning: 3
  • Sundhedspleje: 2
  • Ældrepleje: 6

Datatilsynet har anmodet kommunen om at udfylde et oplysningsskema for hver af de anvendte databehandlere. I den forbindelse har Datatilsynet også spurgt om, hvorvidt der benyttes underdatabehandler(e) i forhold til de enkelte databehandlere. Hvis dette besvares med ja, har Datatilsynet anmodet om, at kommunen udfylder et oplysningsskema, for hver underdatabehandler, da disse jo også er kommunens databehandlere. 

Vejle Kommunes besvarelser viser, at der er indgået databehandleraftaler med cirka halvdelen af de anvendte databehandlere. Kommunen har i nogen grad begrundet, hvorfor dette er tilfældet. 

Konklusioner vedrørende databehandleraftaler
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at

  • Vejle Kommune i nogen grad har levet op til persondatalovens krav om skriftlige databehandleraftaler, men
  • grundet den manglende modtagelse af en indgået databehandleraftale kan Datatilsynet ikke vurdere, om det tydeligt fremgår, at databehandleren alene handler efter instruks fra kommunen.

Spørgsmålet om fremadrettede initiativer med henblik på at efterleve reglerne behandles i afsnit 6 nedenfor.

4. Kommunens kontrol med databehandlere
Vejle Kommune skulle for hver af de anvendte databehandlere også oplyse, om kommunen har påset4, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Vejle Kommunes besvarelser viser, at sikkerheden er påset hos under halvdelen af de anvendte databehandlere. Der er en overvejende del af de anvendte databehandlere, hvor dette ikke er sket. Kommunen har oplyst, at dette skyldes manglende fokus herpå.

Konklusioner vedrørende kommunens kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at

  • Vejle Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses.

5. Manglende besvarelse af Datatilsynets spørgsmål
Datatilsynet har efter Vejle Kommunes indsendelse af udfyldte spørgeskemaer stillet en række uddybende spørgsmål, og har herudover anmodet Vejle Kommune om at fremsende én af de omhandlede databehandleraftaler.

Vejle Kommune har kun i begrænset omfang svaret på Datatilsynets spørgsmål. Kommunen har heller ikke fremsendt kopi af den databehandleraftale, som tilsynet anmodede om. Datatilsynet finder på denne baggrund, at Vejle Kommune ikke i en tilfredsstillende grad har bidraget til gennemførelsen af tilsynet.

6. Sammenfatning og fremadrettede initiativer
Sammenfattende kan Datatilsynet konkludere,

  1. at Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat uddybende sikkerhedsregler, men
  2. at Vejle Kommune ikke til fulde efterlever kravet om årlig gennemgang af sikkerhedsreglerne,
  3. at Vejle Kommune som krævet efter persondatalovens sikkerhedsregler har fastsat retningslinjer for kommunens eget tilsyn, og
  4. at Vejle Kommune har ført tilsyn med, at der sker logning i overensstemmelse med sikkerhedsbekendtgørelsens § 19 i kommunens ESDH-system, men
  5. at Vejle Kommune ikke har ført tilsyn med, at det sikres, at de autoriserede brugere i sundhedsplejen fortsat opfylder betingelserne for at være autoriserede,
  6. at Vejle Kommune tilsyneladende i nogen grad har levet op til persondatalovens krav om skriftlige databehandleraftaler, men
  7. at det grundet den manglende modtagelse af en indgået databehandleraftale ikke kan afklares, om der er tale om en reel databehandleraftale,
  8. at Vejle Kommune kun i et begrænset omfang har levet op til persondatalovens krav om, at sikkerheden hos databehandlerne skal påses, og
  9. at Vejle Kommune ikke i en tilfredsstillende grad har bidraget til gennemførelsen af tilsynet.


Efter Datatilsynets opfattelse er der med pkt. 2, 5, 8, 9 og til dels pkt. 6 tale om meget omfattende mangler i Vejle Kommunes efterlevelse af persondataloven i forhold til behandling af såvel almindelige som følsomme personoplysninger. Datatilsynet finder dette meget kritisabelt.

Datatilsynet har ved brev af dags dato underrettet byrådet i Vejle Kommune om de konstaterede overtrædelser af persondataloven.

Datatilsynet skal anmode Vejle Kommune om en redegørelse for, hvilke skridt der vil blive taget for at sikre en bedre efterlevelse af persondataloven fremover – herunder på de i pkt. 2, 5, 6, 8 og 9 omtalte områder.

Vejle Kommunes svar bedes fremsendt, så det er Datatilsynet i hænde senest den 12. december 2016.

7. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet afventer herefter svar fra Vejle Kommune.

 

____________________________

1 Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr.
2 Tilsynets stikprøve fokuserede på kravet om, at der skal være fastsat særlige retningslinjer for behandling af person-oplysninger på pc-arbejdspladser uden for den dataansvarlige myndigheds lokaliteter, jf. sikkerhedsbekendtgørelsens § 7, stk. 2.

3 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.

4 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker

Afgørelser efter emneord:


Fritekstsøgning i afgørelser