Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Vejdirektoratet

Brevdato: 25.09.17

Journalnummer: 2016-621-0042

Vejdirektoratet var blandt de myndigheder, som Datatilsynet havde udvalgt til tilsyn i 2016. Datatilsynets planlagte tilsyn med offentlige myndigheder fokuserede i 2016 navnlig på:

• Uddybende sikkerhedsregler, 
• myndighedens eget tilsyn,
• databehandleraftaler, og
• myndighedens kontrol med databehandlere

Efter anmodning fra Datatilsynet har Vejdirektoratet i efteråret 2016 udfyldt en række oplysningsskemaer og indsendt disse samt yderligere materiale til tilsynet.

Ved tilsynet med databehandleraftaler og Vejdirektoratets kontrol med databehandlere har fokus været på løn-, regnskab og personaleadministration samt på sagsbehandling ved Vejdirektoratet.

I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Vejdirektoratet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Vejdirektoratet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Vejdirektoratet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens1 krav om indgåelse af skriftlig databehandleraftale.
  4. At Vejdirektoratet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Vejdirektoratet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens2 krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Vejdirektoratet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

1. Uddybende sikkerhedsregler
Efter anmodning fra Datatilsynet har Vejdirektoratet besvaret en række spørgsmål til afklaring af, om de af Vejdirektoratet fastsatte uddybende sikkerhedsregler, som krævet efter sikkerhedsbekendtgørelsen3, bliver gennemgået mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden4.

Vejdirektoratet har som svar på Datatilsynets spørgsmål om årlig gennemgang af uddybende sikkerhedsregler oplyst, at myndigheden ikke konsekvent har foretaget årlig gennemgang af sine uddybende sikkerhedsregler.

2. Vejdirektoratets eget tilsyn
Datatilsynet har i forbindelse med sit tilsyn med Vejdirektoratet anmodet Vejdirektoratet om at oplyse, om der er fastsat retningslinjer for Vejdirektoratets eget tilsyn med overholdelse af de sikkerhedskrav, der gælder for Vejdirektoratet, jf. sikkerhedsbekendtgørelsens § 5, stk. 1, 3. pkt. Samtidig har Datatilsynet bedt Vejdirektoratet om i positivt fald at sende tilsynet en kopi af disse retningslinjer.

Vejdirektoratet har som svar på Datatilsynets spørgsmål om fastsættelse af retningslinjer for myndighedens eget tilsyn oplyst, at myndigheden ikke har fastsat retningslinjer herfor.

3. Databehandleraftaler og myndighedens kontrol med databehandlere
3.1. Fremgangsmåden ved Datatilsynets tilsyn
I forbindelse med tilsynet med Vejdirektoratet foretog Datatilsynet en stikprøvevis undersøgelse af, om Vejdirektoratet efterlever persondatalovens krav5 om, at der skal være indgået en skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler, og om Vejdirektoratet har påset6, at anvendte databehandlere har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Stikprøveundersøgelsen blev udført således, at Datatilsynet – i foråret 2016 – havde anmodet Statens Administration, Statens IT og Moderniseringsstyrelsen om at udfylde oplysningsskemaer for de databehandlinger, som de hver især foretager som databehandler for de statslige myndigheder. Datatilsynet bad samtidig om, at det blev oplyst, hvilke eventuelle underdatabehandlere, som myndigheden måtte anvende.

De udfyldte oplysningsskemaer blev herefter i efteråret 2016 sendt til Vejdirektoratet med anmodning om, at Vejdirektoratet ligeledes udfyldte et oplysningsskema for hver af de databehandlere, herunder underdatabehandlere, som Vejdirektoratet benytter sig af i forbindelse med det ovenfor angivne fokusområde. Vejdirektoratet kunne i den anledning samtidig vurdere, om Vejdirektoratet kunne tilslutte sig Statens Administration, Statens IT og Moderniseringsstyrelsens oplysninger om, hvilke underdatabehandlere, der blev benyttet.

Endelig bad Datatilsynet stikprøvevis om at se en databehandleraftale med én af de identificerede databehandlere.

3.2. Tilsyn med om der er indgået databehandleraftaler
3.2.1. Vejdirektoratet skulle for hver af de anvendte databehandlere oplyse, om Vejdirektoratet efterlever persondatalovens krav om indgåelse af skriftlig aftale, når behandling af personoplysninger gennemføres ved en databehandler.

Ved en gennemgang af de af Vejdirektoratet udfyldte oplysningsskemaer samt af Vejdirektoratets supplerende udtalelser, kan Datatilsynet konstatere, at Vejdirektoratet har indgået databehandleraftaler med under halvdelen af de anvendte databehandlere.

3.2.2. I forhold til de underdatabehandlere, som anvendes med Moderniseringsstyrelsen og Statens Administration som primær databehandler, har Vejrektoratet specifikt oplyst, at § 11, stk. 1, i bekendtgørelse om statens regnskabsvæsen mv.7 forpligter Vejdirektoratet til at anvende Moderniseringsstyrelsens systemer.

Vejdirektoratet har endvidere oplyst, at det er Vejdirektoratets opfattelse, at det forhold, at Moderniseringsstyrelsen sikrer sig og fører tilsyn med, at underdatabehandlerne kan træffe de i persondatalovens § 41, stk. 3-5, nævnte sikkerhedsforanstaltninger, afløfter Vejdirektoratets forpligtelse i persondatalovens § 42, stk. 1 og 2 i forhold til underdatabehandlerne.

Herudover har Vejdirektoratet – i forhold til de underdatabehandlere, som anvendes med Statens Administration som primær databehandler – oplyst, at Vejdirektoratet ikke har givet Statens Administration bemyndigelse til at indgå databehandleraftaler eller selv har indgået underdatabehandleraftaler.

Af § 11, stk. 1, i ovennævnte bekendtgørelse følger det, at institutioner, der er omfattet af § 2, stk. 1, er forpligtet til at anvende det af Økonomistyrelsen administrerede koncernsystem, jf. kapitel 8.

Af § 2, stk. 1, i samme bekendtgørelse følger det i øvrigt, at bestemmelserne om statens regnskabsvæsen omfatter alle statsinstitutioner, dvs. departementer, underliggende institutioner, særlige fonde mv., samt selvejende institutioner, der er optaget på bevillingslovene med en driftsbevilling på lige fod med de egentlige statsinstitutioner.

Efter en gennemgang af bekendtgørelse om statens regnskabsvæsen mv. – samt det af Vejdirektoratet oplyste – er det Datatilsynets opfattelse, at Vejdirektoratet i vidt omfang ikke har efterlevet persondatalovens § 42, stk. 2, for så vidt angår de underdatabehandlere, som Vejdirektoratet anvender med Moderniseringsstyrelsen og Statens Administration som primær databehandler.

Datatilsynet har herved bl.a. lagt vægt på, at § 11, stk. 1, i bekendtgørelse om statens regnskabsvæsen mv. ikke ses at opfylde kravet i persondatalovens § 42, stk. 2, om indgåelse af databehandleraftaler.

Hertil kommer, at persondatalovens § 42, stk. 2, i øvrigt ikke ses at være opfyldt i forhold til underdatabehandlerne, idet Vejdirektoratet ikke ses at have givet bemyndigelse til indgåelse af databehandleraftaler, ligesom der ikke ses at foreligge direkte aftaler parterne imellem.

3.3. Tilsyn med om databehandleraftalen indeholder en passus om, at databehandleren handler efter instruks
Ved gennemgangen af den stikprøvevis indhentede databehandleraftale kontrollerede Datatilsynet, om databehandleraftalen levede op til minimumskravet i persondatalovens § 42 om, at det skal fremgå, at databehandleren alene handler efter instruks fra myndigheden.

Den af Vejdirektoratet fremsendte databehandleraftale indeholder en formulering om, at databehandleren (Tieto A/S) alene handler efter instruks fra Vejdirektoratet, og aftalen er således umiddelbart i overensstemmelse med minimumskravet i persondatalovens § 42. 

3.4. Kontrol af om Vejdirektoratet har påset sikkerheden hos sin databehandler
3.4.1. Vejdirektoratet skulle for hver af de anvendte databehandlere oplyse, om Vejdirektoratet har påset, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

Ved en gennemgang af de af Vejdirektoratet udfyldte oplysningsskemaer samt af Vejdirektoratets supplerende udtalelser, kan Datatilsynet konstatere, at Vejdirektoratet for under halvdelen af de anvendte databehandlere har påset, at databehandlerne har truffet de påkrævede sikkerhedsforanstaltninger.

3.4.2. For så vidt angår de underdatabehandlere, som anvendes med Moderniseringsstyrelsen og Statens Administration som primær databehandler, har Vejdirektoratet oplyst, om de udførte kontroller, at kontrolaktiviteterne bl.a. har bestået i en kombination af tilsyn ved Rigsrevisionen, afholdelse af statusmøder og interne kontroller samt indhentelse af revisionserklæringer fra eksterne partere.

3.4.2.1. Om Rigsrevisionens tilsyn har Vejdirektoratet oplyst, at Rigsrevisionen udfører årlig revision af kernesystemer og stikprøverevision af øvrige systemer, som udbydes af Moderniseringsstyrelsen, og at disse kontroller bl.a. vedrører håndteringen af personoplysninger og om sikkerhedskravene opfyldes.

Vejdirektoratet har dog ikke nærmere beskrevet, om den udførte revision har gået på en kontrol af databehandlernes overholdelse af persondataloven og sikkerhedsbekendtgørelsens regler.

Herudover har Vejdirektoratet oplyst, at Rigsrevisionen ikke sender revisionserklæringerne til Vejdirektoratet.

Vejdirektoratet har efterfølgende bl.a. præciseret, at Rigsrevisionen hverken kan eller skal føre revision af Moderniseringsstyrelsens underleverandører.

Det er Datatilsynets opfattelse, at Vejdirektoratet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontroller.

Datatilsynet har i den forbindelse bl.a. lagt vægt på, at Rigsrevisionen ikke er forpligtet til at påse sikkerheden hos databehandlere – hverken i henhold til en aftale med de statslige myndigheder, eller i henhold til lov – at Rigsrevisionen egenhændig beslutter, hvad der skal være fokus for revisionen, og at Rigsrevisionens kontrol af statslige myndigheder ikke sker som led i myndighedernes egenskab af databehandlere.

3.4.2.2. Hvad angår afholdelsen af statusmøder og interne kontroller har Vejdirektoratet oplyst, at der under statusmøderne bl.a. har været drøftet status på eventuelle fejl i systemet, ændringsønsker til det konkrete system, og at der har været mulighed for at drøfte alle andre relevante emner for Moderniseringsstyrelsens systemer.

Vejdirektoratet har ikke nærmere beskrevet, hvordan de afholdte statusmøder og interne kontroller har gået på en kontrol af databehandlernes overholdelse af persondataloven og sikkerhedsbekendtgørelsens regler, ligesom det ikke er oplyst, om Vejdirektoratet selv har deltaget i statusmøderne.

Datatilsynet finder derfor ikke at kunne lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med de anvendte databehandlere.

3.4.2.3. For så vidt angår de revisionserklæringer, der er udarbejdet af andre eksterne tredjeparter, har Vejdirektoratet oplyst, at Moderniseringsstyrelsen og Statens Administration ikke udleverer revisionserklæringerne til Vejdirektoratet eller andre myndigheder, men at styrelsen dog indestår for bl.a. opfølgningen på revisionserklæringerne.

Det er oplyst, at den manglende udlevering af revisionserklæringerne skyldes, at disse indeholder oplysninger om bl.a. sikkerhedshuller hos underdatabehandlerne, som vil kunne medføre indsigt i svagheder og dermed risiko for sikkerhedsbrud.

Selvom de revisionserklæringer, der er udarbejdet af eksterne tredjeparter, formentlig udgør en kontrol i et eller andet omfang, er det Datatilsynets opfattelse, at de i den konkrete sammenhæng ikke er tilstrækkelige.

I den forbindelse har Datatilsynet bl.a. lagt vægt på, at Vejdirektoratet, som dataansvarlig, skal have mulighed for at blive gjort bekendt med udarbejdede revisionserklæringer fra eksterne parter, idet Vejdirektoratet ellers ikke vil kunne sikre en effektiv kontrol m.m.

3.4.2.4. Sammenfattende må Datatilsynet på baggrund af ovennævnte lægge til grund, at der i et vist omfang er foretaget en kontrol med de databehandlere, som Vejdirektoratet anvender med Moderniseringsstyrelsen og Statens Administration som primær databehandler.

Datatilsynet finder imidlertid ikke at kunne konkludere, at den udførte kontrol har været i overensstemmelse med persondatalovens § 42, stk. 1, sidste punktum, idet Vejdirektoratet ikke kan afløfte sin pligt til at føre kontrol med sine databehandlere ved en henvisning til Rigsrevisionens kontroller, idet Datatilsynet ikke kan lægge til grund, at de beskrevne statusmøder i sig selv er en tilstrækkelig aktiv kontrol med anvendte databehandlere, og idet de eksternt udarbejdede revisionserklæringer i den konkrete sammenhæng ikke er tilstrækkelige.

3.5. Fremadrettede initiativer
Som nævnt under afsnit 3.2.2. og 3.4.2. har Datatilsynet konstateret, at Vejdirektoratet ikke konsekvent har iagttaget persondatalovens §§ 42, stk. 1, sidste punktum, og § 42, stk. 2.

Baseret på Datatilsynets drøftelser med Vejdirektoratet og andre myndigheder har Datatilsynet kunnet konstatere, at den manglende efterlevelse af persondataloven bl.a. skyldes en række uklarheder og misforståelser vedrørende forholdet mellem Vejdirektoratet og Moderniseringsstyrelsen m.fl.

På denne baggrund – og da uklarhederne mv. angår mange statslige myndigheder – har Datatilsynet og Moderniseringsstyrelsen i foråret 2017 igangsat et arbejde, hvor der vil blive set på, hvordan statslige myndigheders anvendelse af Moderniseringsstyrelsens systemer – samt eventuelt Statens Administration og andres systemer – kan tilrettelægges på den mest hensigtsmæssige måde fremadrettet.

I den forbindelse arbejdes der bl.a. på en løsning, hvor man går væk fra den nuværende databehandlerkonstruktion og i stedet benytter en konstruktion med delt dataansvar mellem Moderniseringsstyrelsen og de enkelte relevante statslige myndigheder, da en sådan konstruktion bedre må antages at afspejle de faktiske forhold.

Datatilsynet og Moderniseringsstyrelsens arbejde forventes afsluttet i efteråret 2017 og vil herefter blive meldt ud til de relevante statslige myndigheder.

3.6. Sammenfattende vurdering i forhold til databehandleraftaler og kontrol med databehandlere
På grundlag af de modtagne oplysninger kan Datatilsynet konkludere, at Vejdirektoratet for under halvdelen af de anvendte databehandlere har indgået databehandleraftaler, at den databehandleraftale, der stikprøvevis blev gennemgået indeholdt en formulering om, at databehandleren alene handler efter instruks fra Vejdirektoratet, og at Vejdirektoratet for under halvdelen af de anvendte databehandlere har iagttaget persondatalovens regler om at påse, at databehandleren har truffet de sikkerhedsforanstaltninger, der kræves efter persondataloven og sikkerhedsbekendtgørelsen.

4. Konklusion og fremadrettede initiativer
I forhold til ovennævnte fokuspunkter kan Datatilsynet sammenfattende konkludere:

  1. At Vejdirektoratet ikke konsekvent har efterlevet kravet om årlig gennemgang af sine uddybende sikkerhedsregler.
  2. At Vejdirektoratet ikke har fastsat fornødne retningslinjer for sit eget tilsyn.
  3. At Vejdirektoratet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om indgåelse af skriftlig databehandleraftale.
  4. At Vejdirektoratet for under halvdelen af de anvendte databehandlere har levet op til persondatalovens krav om, at sikkerheden hos databehandlere skal påses.

Datatilsynet finder det samlet set meget kritisabelt, at Vejdirektoratet ikke har efterlevet persondatalovens og sikkerhedsbekendtgørelsens krav i forhold til punkt 1, 2, 3 og 4.

På den baggrund skal Datatilsynet anmode Vejdirektoratet om en redegørelse for, hvilke skridt der vil blive taget for at sikre, at myndigheden fremadrettet vil efterleve persondataloven og sikkerhedsbekendtgørelsen i forhold til punkt 1, 2, 3 og 4. Denne redegørelse bedes være Datatilsynet i hænde senest 4 uger fra dette brevs dato.

5. Afsluttende bemærkninger
Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside en uge fra dette brevs dato.

___________________________________________

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelsen nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning.
3 Det følger af sikkerhedsbekendtgørelsen § 5, stk. 1, at den dataansvarlige myndighed skal fastsætte interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelsen skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens eget tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
4 Det følger endvidere af sikkerhedsbekendtgørelsens § 5, stk. 2, at de interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at der er fyldestgørende og afspejler de faktiske forhold i myndigheden.
5 Det følger af persondatalovens § 42, stk. 2, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Hvis databehandleren er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den medlemsstat, hvor databehandleren er etableret, gælder for denne.
6 Det følger af persondatalovens § 42, stk. 1, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.
7 Bekendtgørelse nr. 70 af 27. januar 2011 om statens regnskabsvæsen mv.

Afgørelser efter emneord:


Fritekstsøgning i afgørelser