Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Udbetaling Danmark

Brevdato: 25.09.17

Journalnummer: 2016-621-0043

Udbetaling Danmark var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Udbetaling Danmark i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Udbetaling Danmarks kontrol med databehandlere har fokus været på sagsbehandling ved Udbetaling Danmark vedrørende pensioner, flexydelser, familieydelser og barselspenge.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Udbetaling Danmark har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Udbetaling Danmark har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Udbetaling Danmark har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Udbetaling Danmark har levet op til persondatalovens krav om, at sikkerheden hos anvendte databehandlere skal påses.

På denne baggrund anser Datatilsynet tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Udbetaling Danmark besvaret en række spørgsmål til afklaring af, om de af Udbetaling Danmark fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen2, er blevet gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden3.

Udbetaling Danmark har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden årligt har foretaget en gennemgang af sine uddybende sikkerhedsregler. Myndigheden har samtidig oplyst Datatilsynet tidspunktet for sidste og næstsidste gennemgang.

På grundlag af de modtagne oplysninger kan Datatilsynet således konkludere, at Udbetaling Danmark har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.

2. Udbetaling Danmarks eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Udbetaling Danmark anmodet Udbetaling Danmark om at oplyse, om der er fastsat retningslinjer for Udbetaling Danmarks eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Udbetaling Danmark, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Udbetaling Danmark om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Til besvarelse af ovennævnte sendte Udbetaling Danmark Datatilsynet flere dokumenter, der tilsammen udgør Udbetaling Danmarks retningslinjer.

Efter en gennemgang af de fremsendte dokumenter er det Datatilsynets vurdering, at dokumenterne indeholder en række formuleringer, der samlet set kan siges at overholde sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt.

Datatilsynet skal dog – mere så der ikke kan opstå tvivl herom – opfordre Udbetaling Danmark til, at det tydeliggøres i retningslinjerne, at disse er udarbejdet med henblik på at kontrollere, at de interne bestemmelser om sikkerhedsforanstaltninger, der er fastsat for myndigheden i overensstemmelse med sikkerhedsbekendtgørelsen, overholdes af myndigheden.

Udbetaling Danmark kan også overveje, om det ikke vil være mere hensigtsmæssigt at samle retningslinjerne, da det formentlig vil lette overskueligheden for brugerne. Det kan i den forbindelse bemærkes, at Datatilsynet måtte bruge en del tid på at danne sig et samlet overblik.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Udbetaling Danmark foretog Datatilsynet en stikprøvevis undersøgelse af, om Udbetaling Danmark efterlever persondatalovens krav4 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Udbetaling Danmark har påset5, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Udbetaling Danmark med anmodning om, at Udbetaling Danmark ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Udbetaling Danmark benytter sig af i forbindelse med det ovenfor angivne fokusområde. Udbetaling Danmark kunne i den anledning samtidig vurdere, om Udbetaling Danmark kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
Udbetaling Danmark skulle for hver af de anvendte databehandlere oplyse, om Udbetaling Danmark efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

På baggrund af de modtagne oplysninger – samt den stikprøvevis indhentede aftale – kan Datatilsynet konstatere, at det er Udbetaling Danmarks vurdering, at kravet om skriftlig databehandleraftale er opfyldt for alle de anvendte databehandlere.

Ved en gennemgang af de af Udbetaling Danmark udfyldte oplysningsskemaer samt af Udbetaling Danmarks supplerende udtalelser, finder tilsynet ikke grundlag for at tilsidesætte vurderingen af, at kravet om skriftlig databehandleraftale er opfyldt for alle de anvendte databehandlere.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Udbetaling Danmark fremsendte databehandleraftale indeholder en formulering om, at databehandleren (ATP) alene handler efter instruks fra Udbetaling Danmark, og aftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

3.4. Kontrol af om Udbetaling Danmark har påset sikkerheden hos sin databehandler
Udbetaling Danmark skulle for hver af de anvendte databehandlere oplyse, om Udbetaling Danmark har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Udbetaling Danmark oplyste i den sammenhæng, at Udbetaling Danmark for de fleste af de anvendte databehandlere har påset, om databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger, samt beskrevet hvordan denne kontrol har fundet sted.

I det tilfælde, hvor Udbetaling Danmark ikke har påset sikkerheden, er det oplyst, at databehandleren har været anvendt i mindre end ét år, og at det er planlagt, at der skal ske en kontrol i indeværende år.

På baggrund af det oplyste må Datatilsynet lægge til grund, at Udbetaling Danmark har levet op til kravet om at påse sikkerheden hos sine databehandlere.

3.5. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger må Datatilsynet konkludere, at Udbetaling Danmark har indgået databehandleraftaler med alle de anvendte databehandlere, at den databehandleraftale, der stikprøvevis blev gennemgået efter Datatilsynets opfattelse indeholdt en formulering om, at databehandleren alene handler efter instruks fra Udbetaling Danmark, og at Udbetaling Danmark har iagttaget persondatalovens regler om at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

4. Afsluttende bemærkninger
Datatilsynet anser hermed tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside en uge fra dette brevs dato.

___________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. 
3Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
4Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne
5Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Relaterede emneord og paragraffer

§ 41, § 42, § 5, Databehandleraftale, Kontrol, Sikkerhedsbekendtgørelse, Tilsyn

Afgørelser efter emneord:


Fritekstsøgning i afgørelser