Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Rigspolitiet

Brevdato: 25.09.17

Journalnummer: 2016-621-0041

Rigspolitiet var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Rigspolitiet i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Rigspolitiets kontrol med databehandlere har fokus været på sagsbehandling ved Nationalt Cyber Crime Center (NC3).

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Rigspolitiet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Rigspolitiet har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Rigspolitiet har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Rigspolitiet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.
  5. At Rigspolitiet ikke har levet op til persondatalovens krav om at indhente Datatilsynets forudgående tilladelse forinden overførsel af personoplysninger til tredjelande.

Datatilsynet finder det samlet set kritisabelt, at Rigspolitiet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens2 krav i forhold til punkt 1, 4 og 5.

På den baggrund skal Datatilsynet anmode Rigspolitiet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 4 og 5. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.
 
En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Rigspolitiet besvaret en række spørgsmål til afklaring af, om de af Rigspolitiet fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen3, er blevet gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden4.

Rigspolitiet har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden ikke konsekvent har foretaget årlig gennemgang af sine uddybende sikkerhedsregler.

2. Rigspolitiets eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Rigspolitiet anmodet Rigspolitiet om at oplyse, om der er fastsat retningslinjer for Rigspolitiets eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Rigspolitiet, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Rigspolitiet om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Til besvarelse af ovennævnte sendte Rigspolitiet Datatilsynet et dokument benævnt ”It-sikkerhedshåndbog – for dansk politi og anklagemyndigheden i politikredsene”.

Efter en gennemgang af det fremsendte dokument er det Datatilsynets vurdering, at retningslinjerne i dokumentet er tilstrækkelige i forhold til sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved lagt vægt på, at det ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for myndigheden i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af myndigheden.

Datatilsynet må på den baggrund konkludere, at Rigspolitiet har fastsat fornødne retningslinjer for myndighedens eget tilsyn.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Rigspolitiet foretog Datatilsynet en stikprøvevis undersøgelse af, om Rigspolitiet efterlever persondatalovens krav5 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Rigspolitiet har påset6, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Rigspolitiet med anmodning om, at Rigspolitiet ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Rigspolitiet benytter sig af i forbindelse med det ovenfor angivne fokusområde. Rigspolitiet kunne i den anledning samtidig vurdere, om Rigspolitiet kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
Rigspolitiet skulle for hver af de anvendte databehandlere oplyse, om Rigspolitiet efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

På baggrund af de modtagne oplysninger – samt den stikprøvevis indhentede aftale – kan Datatilsynet konstatere, at det er Rigspolitiets vurdering, at kravet om skriftlig databehandleraftale er opfyldt for alle de anvendte databehandlere.

Ved en gennemgang af de af Rigspolitiet udfyldte oplysningsskemaer samt af Rigspolitiets supplerende udtalelser, finder tilsynet ikke grundlag for at tilsidesætte vurderingen af, at kravet om skriftlig databehandleraftale er opfyldt for alle de anvendte databehandlere.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Rigspolitiet fremsendte databehandleraftale indeholder efter Datatilsynets opfattelse en række formuleringer, der samlet set kan siges at fastsætte, at
databehandleren (CSC) alene handler efter instruks fra Rigspolitiet. Databehandleraftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

Datatilsynet skal dog – mere så der ikke kan opstå tvivl herom – opfordre Rigspolitiet til, at det tydeliggøres i databehandleraftalen, at CSC alene handler efter instruks fra Rigspolitiet.

3.4. Kontrol af om Rigspolitiet har påset sikkerheden hos sin databehandler
Rigspolitiet skulle for hver af de anvendte databehandlere oplyse, om Rigspolitiet har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Ved en gennemgang af de af Rigspolitiet udfyldte oplysningsskemaer, samt af Rigspolitiets supplerende udtalelser, kan Datatilsynet konstatere, at Rigspolitiet for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger.

3.5. Overførsel af personoplysninger til et tredjeland
Under tilsynet fremsendte Rigspolitiet af egen drift en databehandleraftale med Chainalysis Inc., USA.

Efter en gennemgang af den fremsendte aftale kan Datatilsynet konstatere, at parterne i henhold til artikel 26, stk. 4, i databeskyttelsesdirektivet7 med henblik på overførsel af personoplysninger til databehandleren i USA har fastsat kontraktbestemmelser med det formål at frembyde tilstrækkelige garantier for beskyttelse af privatlivets fred, grundlæggende rettigheder og frihedsrettigheder samt for udøvelsen af de dertil knyttede rettigheder.

Datatilsynet kan endvidere konstatere, at den fremsendte kontrakt er en såkaldt ”ad hoc kontrakt”, idet der i kontrakten er foretaget ændringer i forhold til Kommissionens standardkontraktbestemmelser8.

Ved et opslag i Datatilsynets journalsystem kan tilsynet konstatere, at Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til tredjelande i medfør af persondatalovens § 27, stk. 4.

Idet Rigspolitiet ikke har indhentet Datatilsynets forudgående tilladelse til overførsel af personoplysninger til databehandleren i USA, skal Datatilsynet henstille til, at Rigspolitiet straks ophører med at overføre personoplysninger til databehandleren Chainalysis Inc.

Hvis Rigspolitiet fortsat ønsker at overføre personoplysninger til databehandleren Chainalysis Inc., kan Rigspolitiet søge Datatilsynet om tilladelse hertil efter persondatalovens § 27, stk. 4.

Til orientering skal Datatilsynet gøre opmærksom på, at der efter persondatalovens § 27, stk. 5, ikke skal søges om tilladelse fra Datatilsynet til at overføre personoplysninger til tredjelande efter lovens § 27, stk. 4, hvis den anvendte kontrakt er i fuld overensstemmelse med Kommissionens standardkontrakt bestemmelser. 

3.6. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Rigspolitiet har indgået databehandleraftaler med alle de anvendte databehandlere, at den databehandleraftale, der stikprøvevis blev gennemgået efter Datatilsynets opfattelse indeholdt en række formuleringer, der samlet set kan siges at fastsætte, at databehandleren alene må handle efter instruks fra Rigspolitiet, at Rigspolitiet for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger, og at Rigspolitiet har overført personoplysninger til en databehandler i et tredjeland uden forinden at have indhentet Datatilsynets tilladelse hertil.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Rigspolitiet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Rigspolitiet har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Rigspolitiet har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Rigspolitiet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.
  5. At Rigspolitiet ikke har levet op til persondatalovens krav om at indhente Datatilsynets forudgående tilladelse forinden overførsel af personoplysninger til tredjelande.

Datatilsynet finder det samlet set kritisabelt, at Rigspolitiet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 4 og 5.

På den baggrund skal Datatilsynet anmode Rigspolitiet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 4 og 5. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelsen nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning. 
3Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
4Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
5Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
6Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.                7Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger om fri udveksling af sådanne oplysninger
8www.datatilsynet.dk/erhverv/tredjelande/kommissionens-standardkontrakter/

Afgørelser efter emneord:


Fritekstsøgning i afgørelser