Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Sundheds- og Ældreministeriet

Brevdato: 25.09.17

Journalnummer: 2016-621-0040

Sundheds- og Ældreministeriet var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Sundheds- og Ældreministeriet i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Sundheds- og Ældreministeriets kontrol med databehandlere har fokus været på løn-, regnskab og personaleadministration samt på sagsbehandling ved Sundheds- og Ældreministeriets departement.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Sundheds- og Ældreministeriet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Sundheds- og Ældreministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Sundheds- og Ældreministeriet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens2 krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Sundheds- og Ældreministeriet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Sundheds- og Ældreministeriet besvaret en række spørgsmål til afklaring af, om de af Sundheds- og Ældreministeriet fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen3, er blevet gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden4.

Sundheds- og Ældreministeriet har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden ikke konsekvent har foretaget årlig gennemgang af sine uddybende sikkerhedsregler.

2. Sundheds- og Ældreministeriets eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Sundheds- og Ældreministeriet anmodet Sundheds- og Ældreministeriet om at oplyse, om der er fastsat retningslinjer for Sundheds- og Ældreministeriets eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Sundheds- og Ældreministeriet, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Sundheds- og Ældreministeriet om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Til besvarelse af ovennævnte sendte Sundheds- og Ældreministeriet Datatilsynet et dokument benævnt ”Tilsyn med informationssikkerhed på ministerområdet”. 

Efter en gennemgang af det fremsendte dokument er det Datatilsynets vurdering, at dokumentet ikke udgør tilstrækkelige retningslinjer for Sundheds- og Ældreministeriets eget tilsyn, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet har herved bl.a. lagt vægt på, at det ikke ses at fremgå af retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for myndigheden i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af myndigheden.

Datatilsynet må på den baggrund konkludere, at Sundheds- og Ældreministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Sundheds- og Ældreministeriet foretog Datatilsynet en stikprøvevis undersøgelse af, om Sundheds- og Ældreministeriet efterlever persondatalovens krav5 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Sundheds- og Ældreministeriet har påset6, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Sundheds- og Ældreministeriet med anmodning om, at Sundheds- og Ældreministeriet ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Sundheds- og Ældreministeriet benytter sig af i forbindelse med det ovenfor angivne fokusområde. Sundheds- og Ældreministeriet kunne i den anledning samtidig vurdere, om Sundheds- og Ældreministeriet kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
3.2.1. Sundheds- og Ældreministeriet skulle for hver af de anvendte databehandlere oplyse, om Sundheds- og Ældreministeriet efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Ved en gennemgang af de af Sundheds- og Ældreministeriet udfyldte oplysningsskemaer samt af Sundheds- og Ældreministeriets supplerende udtalelser, kan Datatilsynet konstatere, at Sundheds- og Ældreministeriet har indgået databehandleraftaler med under halvdelen af de anvendte databehandlere.

3.2.2. I forhold til de underdatabehandlere, som anvendes med Moderniseringsstyrelsen og Statens Administration som primær databehandler, har Sundheds- og Ældreministeriet specifikt oplyst, at ministeriet har givet Sundhedsstyrelsen bemyndigelse til at indgå databehandleraftaler på vegne af ministeriet.

Sundheds- og Ældreministeriet har endvidere oplyst, at ministeriet ikke har givet Moderniseringsstyrelsen bemyndigelse til at indgå databehandleraftaler på vegne af ministeriet.

Herudover har Sundheds- og Ældreministeriet oplyst, at de underdatabehandlere, der anvendes – bl.a. med Statens Administration som primær databehandler – er omfattet af den generelle databehandleraftale, der er indgået med Moderniseringsstyrelsen.

Efter en gennemgang af det af Sundheds- og Ældreministeriet oplyste, er det Datatilsynets opfattelse, at Sundheds- og Ældreministeriet i vidt omfang ikke har efterlevet persondatalovens § 42, stk. 2, for så vidt angår de underdatabehandlere, som Sundheds- og Ældreministeriet anvender med Moderniseringsstyrelsen og Statens Administration som primær databehandler.

Datatilsynet har herved bl.a. lagt vægt på, at det i praksis er Moderniseringsstyrelsen, der har indgået databehandleraftaler med de underdatabehandlere, der anvendes med Moderniseringsstyrelsen som primær databehandler, uden at der forelå en bemyndigelse hertil.

Hertil kommer, at persondatalovens § 42, stk. 2, i øvrigt ikke ses at være opfyldt i forhold til underdatabehandlerne, idet der bl.a. ikke ses at foreligge direkte aftaler parterne imellem.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Sundheds- og Ældreministeriet fremsendte databehandleraftale indeholder en formulering om, at databehandleren (Sundhedsdatastyrelsen) alene handler efter instruks fra Sundheds- og Ældreministeriet, og aftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

3.4. Kontrol af om Sundheds- og Ældreministeriet har påset sikkerheden hos sin databehandler
3.4.1. Sundheds- og Ældreministeriet skulle for hver af de anvendte databehandlere oplyse, om Sundheds- og Ældreministeriet har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Ved en gennemgang af de af Sundheds- og Ældreministeriet udfyldte oplysningsskemaer, samt af Sundheds- og Ældreministeriets supplerende udtalelser, kan Datatilsynet konstatere, at Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger.

3.4.2. For så vidt angår de underdatabehandlere, som anvendes med Moderniseringsstyrelsen og Statens Administration som primær databehandler, har Sundheds- og Ældreministeriet oplyst, om de udførte kontroller, at kontrolaktiviteterne bl.a. har bestået i en kombination af tilsyn ved Rigsrevisionen, afholdelse af statusmøder og interne kontroller samt indhentelse af revisionserklæringer fra eksterne partere.

3.4.2.1. Om Rigsrevisionens tilsyn samt afholdelse af statusmøder og interne har Sundheds- og Ældreministeriet oplyst, at ministeriet ikke har haft mulighed for at vende tilbage med et svar.

Sundheds- og Ældreministeriet har således ikke nærmere beskrevet, hvordan Rigsrevisionens kontrol og de afholdte statusmøder og interne kontroller har gået på en kontrol af databehandlernes overholdelse af persondataloven og sikkerhedsbekendtgørelsens regler, ligesom det ikke er oplyst, om Sundheds- og Ældreministeriet selv har deltaget i statusmøderne.

Det er Datatilsynets opfattelse, at Sundheds- og Ældreministeriet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontrol.

Datatilsynet har i den forbindelse lagt vægt på, at Rigsrevisionen ikke er forpligtet til at påse sikkerheden hos databehandlere – hverken i henhold til en aftale med de statslige myndigheder, eller i henhold til lov – at Rigsrevisionen egenhændig beslutter, hvad der skal være fokus for revisionen, og at Rigsrevisionens kontrol af statslige myndigheder ikke sker som led i myndighedernes egenskab af databehandlere.

Herudover finder Datatilsynet ikke at kunne lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med anvendte databehandlere.

3.4.2.2. For så vidt angår de revisionserklæringer, der er udarbejdet af andre eksterne tredjeparter, har Sundheds- og Ældreministeriet oplyst, at Moderniseringsstyrelsen ikke udleverer revisionserklæringerne til Sundheds- og Ældreministeriet eller andre myndigheder.

Selvom de revisionserklæringer der er udarbejdet af eksterne tredjeparter formentlig udgør en kontrol i et eller andet omfang, er det Datatilsynets opfattelse, at de i den konkrete sammenhæng ikke er tilstrækkelige.

I den forbindelse har Datatilsynet bl.a. lagt vægt på, at Sundheds- og Ældreministeriet, som dataansvarlig, skal have mulighed for at blive gjort bekendt med udarbejdede revisionserklæringer fra eksterne parter, idet Sundheds- og Ældreministeriet ellers ikke vil kunne sikre en effektiv kontrol m.m.

3.4.2.3. Sammenfattende må Datatilsynet på baggrund af ovennævnte lægge til grund, at der i et vist omfang er foretaget en kontrol med de databehandlere, som Sundheds- og Ældreministeriet anvender med Moderniseringsstyrelsen og Statens Administration som primær databehandler.

Datatilsynet finder imidlertid ikke at kunne konkludere, at den udførte kontrol har været i overensstemmelse med persondatalovens § 42, stk. 1, sidste punktum, idet Sundheds- og Ældreministeriet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontroller, idet Datatilsynet ikke kan lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med anvendte databehandlere, og idet de eksternt udarbejdede revisionserklæringer i den konkrete sammenhæng ikke er tilstrækkelige.

3.5. Fremadrettede initiativer
Som nævnt under afsnit 3.2.2. og 3.4.2. har Datatilsynet konstateret, at Sundheds- og Ældreministeriet ikke konsekvent har iagttaget persondatalovens §§ 42, stk. 1, sidste punktum, og § 42, stk. 2.

Baseret på Datatilsynets drøftelser med Sundheds- og Ældreministeriet og andre myndigheder har Datatilsynet kunnet konstatere, at den manglende efterlevelse af persondataloven bl.a. skyldes en række uklarheder og misforståelser vedrørende forholdet mellem Sundheds- og Ældreministeriet og Moderniseringsstyrelsen m.fl.

På denne baggrund – og da uklarhederne mv. angår mange statslige myndigheder – har Datatilsynet og Moderniseringsstyrelsen i foråret 2017 igangsat et arbejde, hvor der vil blive set på, hvordan statslige myndigheders anvendelse af Moderniseringsstyrelsens systemer – samt eventuelt Statens Administration og andres systemer – kan tilrettelægges på den mest hensigtsmæssige måde fremadrettet.

I den forbindelse arbejdes der bl.a. på en løsning, hvor man går væk fra den nuværende databehandlerkonstruktion og i stedet benytter en konstruktion med delt dataansvar mellem Moderniseringsstyrelsen og de enkelte relevante statslige myndigheder, da en sådan konstruktion bedre må antages at afspejle de faktiske forhold.

Datatilsynet og Moderniseringsstyrelsens arbejde forventes afsluttet i efteråret 2017 og vil herefter blive meldt ud til de relevante statslige myndigheder.

3.6. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har indgået databehandleraftaler, at den databehandleraftale, der stikprøvevis blev gennemgået indeholdt en formulering om, at databehandleren alene handler efter instruks fra Sundheds- og Ældreministeriet, og at Sundheds- og Ældreministeriet for under halvdelen af anvendte de anvendte databehandlere har iagttaget persondatalovens regler om at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Sundheds- og Ældreministeriet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Sundheds- og Ældreministeriet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Sundheds- og Ældreministeriet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Sundheds- og Ældreministeriet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Sundheds- og Ældreministeriet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside en uge fra dette brevs dato.

___________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelsen nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning. 
3Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningsliner for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
4Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
5Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
6Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser