Undersøgelse af udvalgte sikkerhedsområder: Odense Kommune

Dato: 15-01-2021

På baggrund af Odense Kommunes besvarelse af de tilsendte spørgsmål er det Datatilsynets overordnede vurdering, at Odense Kommunes generelle modenhed på sikkerhedsområdet er udtryk for et niveau, der passer til de risici, som organisationens behandlingsaktiviteter udgør for de registreredes rettigheder og frihedsrettigheder.

Journalnummer: 2020-423-0231

Resume

Som et led i Datatilsynets arbejde med at styrke den data- og risikobaserede tilgang til vejledning og kontrol afsluttede tilsynet en række spørgeskemaundersøgelser i december 2020. Undersøgelserne skulle belyse den generelle modenhed på udvalgte sikkerhedsområder hos syv offentlige myndigheder og syv private virksomheder. Spørgeskemaerne omfattede bl.a. spørgsmål til håndtering af backup og brud på persondatasikkerheden samt udarbejdelse af informationssikkerhedspolitikker, beredskabsplaner og dokumentation.

Datatilsynet kan konstatere, at særligt håndteringen af backup er et område, som har de dataansvarliges bevågenhed. I flere tilfælde har Datatilsynet dog vurderet, at de dataansvarlige med fordel kan have et større fokus på etableringen af beredskab og beredskabsplaner.

Datatilsynet har den 10. juli 2020 sendt et spørgeskema til Odense Kommune.

På baggrund af Odense Kommunes besvarelse af spørgeskemaet har Datatilsynet efterfølgende den 16. december 2020 været i telefonisk kontakt med kommunen med henblik på at få uddybet en række af svarene. 

Datatilsynets formål med at gennemføre den skriftlige spørgeskemaundersøgelse var navnlig at foretage en vurdering af Odense Kommunes modenhed på databeskyttelsesområdet med et særligt fokus på håndtering af brud på persondatasikkerhed samt efterlevelsen af krav til informationssikkerhed, herunder håndtering af dokumentation, backup og beredskabsplaner.

Datatilsynet har ligeledes på baggrund af Odense Kommunes besvarelse foretaget en overordnet vurdering af de foranstaltninger, som Odense Kommune har vurderet som passende for at imødegå risici, som organisationens behandlingsaktiviteter udgør for de registrerede.

1. Datatilsynets vurdering 

1.1. Etablerede sikkerhedsforanstaltninger

Af databeskyttelsesforordningens[1]artikel 32, stk. 1, fremgår bl.a., at den dataansvarlige under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

På baggrund af Odense Kommunes besvarelse af de tilsendte spørgsmål er det Datatilsynets overordnede vurdering, at Odense Kommunes generelle modenhed på sikkerhedsområdet er udtryk for et niveau, der passer til de risici, som organisationens behandlingsaktiviteter udgør for de registreredes rettigheder og frihedsrettigheder.

Det er i den forbindelse Datatilsynets vurdering, at særligt Odense Kommunes besvarelser vedrørende håndtering af informationssikkerhedspolitik, håndtering af sikkerhedsbrud og backup er udtryk for, at organisationen aktivt har forholdt sig til eventuelle risici for de registrerede, at organisationen på et passende niveau har fastsat procedurer og retningslinjer for sikkerheden, og at organisationen i øvrigt har etableret relevante og passende sikkerhedsforanstaltninger.

For så vidt angår risikovurderinger og beredskabsplan har Datatilsynet dog noteret sig, at Odense Kommune har oplyst, at der på visse områder kun er sket delvist implementering af planlagte foranstaltninger. Samlet finder Datatilsynet imidlertid, at Odense Kommunes besvarelser efterlader et indtryk af, at organisationen arbejder aktivt med dette, og på den baggrund finder tilsynet ikke grundlag for at foretage sig yderligere i den anledning.

1.2. Særligt om dokumentation

Af databeskyttelsesforordningens artikel 5, stk. 2, fremgår, at den dataansvarlige er ansvarlig for og skal kunne påvise, at dataansvarlig overholder principper for behandling af personoplysninger nævnt i artikel 5, stk. 1, herunder bl.a. personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, jf. artikel 5, stk. 1, litra f.

Odense Kommune har for hovedparten af spørgsmålene tilkendegivet, at der er udarbejdet dokumentation, og at denne typisk forefindes i ’Struktureret datomærket form’ eller ’Ustruktureret datomærket form’.

Datatilsynet har imidlertid noteret sig, at Odense Kommune efter det oplyste kun i varierende omfang har udarbejdet dokumentation i relation til beredskabsplaner. Det er tilsynets umiddelbare vurdering, at Odense Kommune efter omstændighederne vil kunne have svært ved – inden for rimelig tid – at påvise (dokumentere), at personoplysninger i forhold til beredskabsområdet behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, jf. databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra f.

I tilknytning hertil skal Datatilsynet henlede opmærksomheden på, at den omhandlede dokumentation – efter tilsynets umiddelbare vurdering – skal kunne danne grundlag for kommunens interne arbejde med opretholdelse af et passende sikkerhedsniveau, herunder også kommunens overholdelse af databeskyttelseskrav, hvorfor det bl.a. kan være nødvendigt, at dokumentationen er nemt tilgængelig for relevante dele af organisationen.

Samlet finder Datatilsynet imidlertid, at Odense Kommunes besvarelser efterlader et indtryk af, at kommunen som udgangspunkt er stand til at tilvejebringe den fornødne dokumentation inden for en passende tidsperiode. Det er dog tilsynets opfattelse, at der er enkelte forhold, som indikerer, at Odense Kommune også fremover med fordel kan opretholde sit fokus på, at den udarbejdede dokumentation i højere grad gøres tilgængelig for bl.a. relevante medarbejdere mv.

På det foreliggende grundlag – og efter en samlet vurdering af kommunens besvarelser – foretager Datatilsynet sig ikke yderligere i den anledning.

Datatilsynet anser sagen for afsluttet og foretager sig herefter ikke yderligere.

Datatilsynets udtalelse kan indbringes for domstolene, jf. grundlovens § 63.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).