Tilsyn med Udbetaling Danmarks behandling af personoplysninger

Dato: 26-02-2020

Journalnummer: 2019-421-0028

Resume

Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Udbetaling Danmark. Tilsynet fokuserede på myndighedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.

Datatilsynet har i anledning af tilsynet udtalt kritik af, at Udbetaling Danmarks behandling af personoplysninger ikke var sket i overensstemmelse med forordningens artikel 15 og artikel 12, stk. 3.

Af Datatilsynets afsluttende udtalelse fremgår bl.a., at Udbetaling Danmark i forbindelse med nogle ydelser kan træffe afgørelser, der alene er baseret på automatisk behandling, jf. forordningens artikel 22, og at myndigheden i fem tilfælde ikke har givet den registrerede den fornødne information om forekomsten af automatiske afgørelser, jf. forordningens artikel 15, stk. 1, litra h.

Herudover fremgår det, at Udbetaling Danmark i fire tilfælde ikke har besvaret en anmodning om indsigt senere end en måned efter modtagelsen af anmodningen, hvor det ene af disse tilfælde skyldtes en undskyldelig misforståelse mellem Udbetaling Danmark og den registrerede vedrørende anmodningens omfang.

Du kan læse Datatilsynets vejledning om registreredes rettigheder her.

Afgørelse

Udbetaling Danmark var blandt de offentlige myndigheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Udbetaling Danmark fokuserede navnlig på myndighedens efterlevelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens[1]  artikel 15 og artikel 12.

Efter anmodning fra Datatilsynet havde Udbetaling Danmark inden tilsynsbesøget udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 13. maj 2019.

1. Afgørelse

Efter tilsynet med Udbetaling Danmark finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Udbetaling Danmark i høj grad har udarbejdet retningslinjer, procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
  2. At Udbetaling Danmark i høj grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette myndighedens efterlevelse af forordningens artikel 15 og artikel 12.
  3. At Udbetaling Danmark har modtaget og besvaret 12 indsigtsanmodninger i perioden 25. maj 2018 til tidspunktet for varslingen af tilsynet.
  4. At Udbetaling Danmark i fem tilfælde ikke har givet den registrerede den fornødne information om forekomsten af automatiske afgørelser, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra h.
  5. At Udbetaling Danmark i tre tilfælde ikke har besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.
  6. At Udbetaling Danmark i ét tilfælde – som følge af en misforståelse – ikke har besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.

Datatilsynet finder i forhold til punkt 4 og 5 grundlag for at udtale kritik af, at Udbetaling Danmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 15 og artikel 12, stk. 3.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.

2. Udbetaling Danmarks retningslinjer og procedurer

Udbetaling Danmark har forud for tilsynsbesøget fremsendt en kopi af myndighedens procedurer og retningslinjer, som var gældende på datoen for varslingen af tilsynet, vedrørende håndtering af indsigtsanmodninger i henhold til databeskyttelsesforordningens artikel 15 og artikel 12.

Udbetaling Danmark har oplyst, at procedurerne og retningslinjerne kan tilgås af medarbejderne på intranettet, og at disse fungerer som et arbejdsredskab for medarbejderne.

Herudover har Udbetaling Danmark oplyst, at alle myndighedens procedurer og retningslinjer er målrettet medarbejdere på tværs af forskellige afdelinger. Udbetaling Danmark har udarbejdet en vidensløsning, hvor myndigheden bl.a. deler viden omkring håndtering af indsigtsanmodninger, og hvor medarbejderne hurtigt kan finde information om indsigtsreglerne ved hjælp af søgeord.

Medarbejderne bliver endvidere gjort opmærksomme på databeskyttelsesreglerne, herunder indsigtsretten, i forbindelse med statusmøder, årlige møder og ved deltagelse i undervisning vedrørende databeskyttelsesreglerne. Herudover gennemfører medarbejderne årligt et e-learningsspil vedrørende databeskyttelse, ligesom Udbetaling Danmark har et antal kundeambassadører, der deler viden med medarbejderne. På den måde bliver medarbejderne også gjort bekendt med, at de eksisterende procedurer, retningslinjer og skabeloner m.v. kan findes på intranettet. Her

De fremsendte procedurer og retningslinjer indeholder bl.a. information om, at medarbejderne – når de har identificeret en anmodning om indsigt – skal videresende henvendelsen til afdelingen ”Kvalitet & Klager”, ligesom det er beskrevet, hvordan medarbejderne i Kvalitet & Klager kan fremsøge oplysningerne om den registrerede, og hvordan de skal sende oplysningerne til den registrerede. Herudover indeholder procedurerne og retningslinjerne information om fristen for besvarelse af indsigtsanmodninger i henhold til forordningens artikel 12, stk. 3, og  information om, hvilke oplysninger der skal gives til den registrerede ved besvarelse af anmodninger om indsigt efter forordningens artikel 15, stk. 1, litra a-h.

Efter en gennemgang af procedurerne og retningslinjerne kan Datatilsynet ikke umiddelbart konstatere, at der gives information om, hvordan medarbejderne skal håndtere indsigtsanmodninger, hvor der hersker tvivl om den registreredes identitet, og hvor myndigheden derfor vil være nødt til at anmode om yderligere oplysninger fra den registrerede for at kunne bekræfte vedkommendes identitet, jf. forordningens artikel 12, stk. 6.

På den baggrund skal Datatilsynet henstille, at Udbetaling Danmark – i det omfang myndigheden ikke allerede har gjort det – tilføjer information herom i procedurerne og/eller retningslinjerne.

Det fremgår af en af de fremsendte retningslinjer (Kompendium om den registreredes rettigheder) vedrørende indsigtsretten, at ”hvis den registrerede ønsker det, skal den dataansvarlige som led i indsigtsretten udlevere en kopi af de personoplysninger, der behandles”. Tilsvarende fremgår ikke af de øvrige retningslinjer mv.

Datatilsynet skal hertil bemærke, at det følger af forordningens artikel 12, stk. 3, at den dataansvarlige udleverer en kopi af de personoplysninger, der behandles, og at dette ikke er betinget af, at den registrerede beder om at modtage en kopi af oplysningerne.

Datatilsynet skal derfor henstille, at dette også tydeliggøres i de nævnte retningslinjer. 

3. Udbetaling Danmarks standardtekster

Udbetaling Danmark har fremsendt en kopi af de skabeloner, som myndighedens medarbejdere benytter ved besvarelse af indsigtsanmodninger, herunder en skabelon, der anvendes til selve besvarelsen af anmodningen og en skabelon, der anvendes ved orientering om forlænget sagsbehandlingstid.

Det fremgår af skabelonen for besvarelse af indsigtsanmodninger, at Udbetaling Danmark kan træffe afgørelser, der alene er baseret på automatisk behandling. Det fremgår endvidere, at de automatiske afgørelser eksempelvis træffes ved, at Udbetaling Danmark indhenter oplysninger fra offentlige registre, der maskinelt sammenholdes med oplysninger i den registreredes sag, og som tilsammen afgør, om den registrerede er berettiget til den pågældende ydelse.

Det følger i den forbindelse af forordningens artikel 15, stk. 1, litra h, at den dataansvarlige skal give den registrerede information om forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Adspurgt herom under tilsynsbesøget oplyste Udbetaling Danmark, at der ved nogle typer af ydelser (eksempelvis indkomstbaserede ydelser såsom boligstøtte) træffes automatiske afgørelser over for den registrerede.  

Datatilsynet spurgte ind til, om det er muligt for Udbetaling Danmark at give den registrerede konkret information om, hvorvidt der har været truffet automatiske afgørelser over for den pågældende.

Udbetaling Danmark oplyste hertil, at det er muligt at oplyse mere konkret herom i forhold til de enkelte ydelser. Adspurgt oplyste Udbetaling Danmark endvidere, at der ikke træffes automatiske afgørelser i forbindelse med alle ydelser, og at det derfor kun vil være relevant at give information herom i nogle tilfælde.

Datatilsynet har i forhold til ovenstående noteret sig, at Udbetaling Danmark efter tilsynsbesøget har oplyst, at baggrunden for den generelle formulering om automatiske afgørelser i Udbetaling Danmarks indsigtsbesvarelse er, at der ved udarbejdelse af brevskabelonen er taget udgangspunkt i Datatilsynets skabeloner til iagttagelse af oplysningspligten og indsigtsretten, men at Udbetaling Danmark efter drøftelserne på tilsynsbesøget vil ændre formuleringen i skabelonen, således at det fremadrettet vil blive angivet i hver indsigtsbesvarelse, hvorvidt der konkret er truffet automatiske afgørelser over for den registrerede.

4. Udbetaling Danmarks håndtering af anmodninger om indsigt

4.1. Udbetaling Danmark har over for Datatilsynet oplyst, at myndigheden har modtaget og besvaret 12 indsigtsanmodninger i perioden fra den 25. maj 2018 til den 9. april 2019. Udbetaling Danmark har fremsendt en kopi af besvarelserne til Datatilsynet forud for tilsynsbesøget.

Det fremgår som nævnt af den fremsendte skabelon for besvarelse af indsigtsanmodninger, at Udbetaling Danmark kan træffe afgørelser, der alene er baseret på automatisk behandling.

Datatilsynet spurgte på tilsynsbesøget ind til, om der er truffet automatiske afgørelser over for de registrerede, som har anmodet om indsigt i perioden fra den 25. maj 2018 il den 9. april 2019.

Udbetaling Danmark har efter tilsynsbesøget oplyst, at myndigheden efter en gennemgang af de fremsendte indsigtssager har konstateret, at borgerne i fem af sagerne har været genstand for en automatisk afgørelse, hvilket ikke fremgår af besvarelserne.

De automatiske afgørelser i de fem sager drejer sig om pension og boligstøtte. Der er i to af sagerne truffet automatiske afgørelser om både pension og boligstøtte, i to andre af sagerne er der truffet automatiske afgørelser om pension, mens der i den sidste sag er truffet automatisk afgørelse om boligstøtte.

Udbetaling Danmark har over for Datatilsynet bekræftet, at de registrerede ikke har fået information om, at de konkret har været genstand for en automatisk afgørelse i overensstemmelse med forordningens artikel 15, stk. 1, litra h.

4.2. Efter en nærmere gennemgang af de 12 besvarede indsigtsanmodninger, kan Datatilsynet konstatere, at Udbetaling Danmark i tre tilfælde har besvaret en anmodning senere end 1 måned efter modtagelsen af anmodningen.

Udbetaling Danmark modtog den 3. september 2018 en anmodning om indsigt, som myndigheden besvarede den 8. november 2018, dvs. 2 måneder og 5 dage efter modtagelsen af anmodningen. Udbetaling Danmark har hertil oplyst, at anmodningen først blev identificeret sent. Da Udbetaling Danmark blev opmærksom på, at fristen var overskredet, prioriterede myndigheden at besvare anmodningen i stedet for at give den registrerede en underretning om forlængelsen af besvarelsen.

Herudover modtog Udbetaling Danmark den 12. november 2018 en anmodning om indsigt, som blev besvaret den 3. januar 2019, dvs. 1 måned og 22 dage efter modtagelsen af anmodningen. Udbetaling Danmark har hertil også oplyst, at anmodningen først blev identificeret sent. Da Udbetaling Danmark blev opmærksom på, at fristen var overskredet, prioriterede myndigheden at besvare anmodningen i stedet for at give den registrerede en underretning om forlængelsen af besvarelsen.

Datatilsynet lægger således til grund, at forlængelsen af besvarelsen af de nævnte to anmodninger ikke skyldtes anmodningernes kompleksitet og antal, men derimod at Udbetaling Danmark ikke har været opmærksom på, at der var tale om indsigtsanmodninger, og at tidsfristen i forordningens artikel 12, stk. 3, for besvarelse af anmodningerne som følge heraf ikke er blevet iagttaget af Udbetaling Danmark.

Udbetaling Danmark modtog endvidere den 18. september 2018 en anmodning om indsigt, som myndigheden besvarede den 24. oktober 2018, dvs. 1 måned og 6 dage efter modtagelsen af anmodningen.

Udbetaling Danmark underrettede den 11. oktober 2018 den registrerede om forlængelsen af besvarelsen. Det fremgår af underretningen, at Udbetaling Danmark på grund af sagens kompleksitet ikke kunne nå at svare den registrerede inden for 1 måned fra modtagelsen af anmodningen.

I besvarelsen af den 24. oktober 2018 beklager Udbetaling Danmark den lange sagsbehandlingstid, som skyldtes, at myndigheden fejlagtigt havde forstået, at den registrerede ønskede indsigt i samtlige oplysninger, som Udbetaling Danmark måtte have registreret om vedkommende. Under en samtale mellem den registrerede og Udbetaling Danmarks databeskyttelsesrådgiver blev det imidlertid præciseret, at den registrerede alene ønskede indsigt i de personoplysninger, der blev behandlet om vedkommende i en specifik sag.

Datatilsynet har i forhold til dette tilfælde noteret sig, at forlængelsen af besvarelsen af anmodningen skyldtes en undskyldelig misforståelse mellem Udbetaling Danmark og den registrerede vedrørende anmodningens omfang. Datatilsynet har lagt vægt på, at Udbetaling Danmark besvarede anmodningen hurtigt efter afklaringen af misforståelsen.

4.3. Ved gennemgangen af de fremsendte eksempler på besvarelser af indsigtsanmodninger kunne Datatilsynet konstatere, at tre ud af de 12 anmodninger – som beskrevet ovenfor – er besvaret senere end 1 måned efter modtagelsen af anmodningen, og at de øvrige anmodninger er besvaret akkurat inden for 1 måned efter modtagelsen.

Adspurgt oplyste Udbetaling Danmark, at myndigheden er opmærksom på, at besvarelserne generelt ligger tæt på fristens udløb. Udfordringen består i, at det er svært for medarbejderne at identificere anmodningerne, idet anmodningerne typisk gemmer sig i en længere korrespondance med den pågældende borger. Udbetaling Danmark har hertil oplyst, at myndigheden forsøger at optimere processen, således at medarbejderne bliver bedre til at identificere anmodninger om indsigt.

4.4. Udbetaling Danmark har over for Datatilsynet oplyst, at i to af de modtagne anmodninger om indsigt herskede der tvivl om identiteten af den fysiske person. Myndigheden var derfor nødsaget til at anmode om yderligere oplysninger for at kunne bekræfte den registreredes identitet, jf. forordningens artikel 12, stk. 6.

Udbetaling Danmark modtog således henholdsvis den 12. og 14. februar 2019 to anmodninger om indsigt, hvor det ud fra henvendelsernes indhold ikke var muligt at identificere de pågældende registrerede.

Udbetaling Danmark anmodede den 27. marts 2019, dvs. henholdsvis 1 måned og 15 dage og 1 måned og 13 dage efter modtagelsen af anmodningerne, begge de registrerede om at henvende sig via Digital Post på borger.dk eller ved at ringe til Udbetaling Danmark, idet det ikke var muligt for Udbetaling Danmark at fremsøge de registreredes sager ud fra deres navne eller den e-mailadresse, som de havde henvendt sig fra. Alternativt kunne de registrerede vælge at sende deres cpr-nummer med e-mail til Udbetaling Danmark. 

Datatilsynet har ingen bemærkninger til, at Udbetaling Danmark har fundet det nødvendigt at anmode de registrerede om yderligere oplysninger med henblik på at få verificeret deres identitet.

Datatilsynet finder imidlertid, at Udbetaling Danmark i de to nævnte tilfælde – ved først at anmode om yderligere oplysninger med henblik på verificering henholdsvis 1 måned og 13 dage og 1 måned og 15 dage efter modtagelsen af anmodningerne – ikke har iagttaget tidsfristerne i forordningens artikel 12, stk. 3.

5. Konklusion

Efter tilsynet med Udbetaling Danmark finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Udbetaling Danmark i høj grad har udarbejdet retningslinjer, procedurer m.v. for myndighedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
  2. At Udbetaling Danmark i høj grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette myndighedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
  3. At Udbetaling Danmark har modtaget og besvaret 12 indsigtsanmodninger i perioden 25. maj 2018 til tidspunktet for varslingen af tilsynet.
  4. At Udbetaling Danmark i fem tilfælde ikke har givet den registrerede den fornødne information om forekomsten af automatiske afgørelser, jf. databeskyttelsesforordningens artikel 15, stk. 1, litra h.
  5. At Udbetaling Danmark i tre tilfælde ikke har besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.
  6. At Udbetaling Danmark i ét tilfælde – som følge af en misforståelse – ikke har besvaret en anmodning om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.

Datatilsynet finder i forhold til punkt 4 og 5 grundlag for at udtale kritik af, at Udbetaling Danmarks behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 15 og artikel 12, stk. 3.

Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).