Tilsyn med Beskæftigelsesministeriets departements tilsyn med en databehandler

Dato: 15-12-2022
Afgørelse Offentlige myndigheder Ingen kritik Tilsyn / egendriftssag Databehandler Grundlæggende principper

Beskæftigelsesministeriets departements tilsyn med en databehandler gav ikke anledning til kritik.

Journalnummer: 2021-421-0097

Resume

Datatilsynet har gennemført et skriftligt tilsyn med Beskæftigelsesministeriets departements tilsyn med en af departementets databehandlere.

Datatilsynet fandt ikke grundlag for at tilsidesætte Beskæftigelsesministeriets departements vurdering af, at ministeriets tilsyn med databehandler VIVE var sket i overensstemmelse med databeskyttelsesreglerne.

Datatilsynet lagde ved vurderingen vægt på, at Beskæftigelsesministeriets departement fører tilsyn med VIVE ved at bede om svar på en række spørgsmål, som departementet har tilpasset ud fra det konkrete indhold af databehandleraftalen, og at departementet herefter stiller uddybende spørgsmål, hvis det er nødvendigt.

Det fremgår desuden af Datatilsynets vejledning om tilsyn med databehandlere, at et tilsyn hvor den dataansvarlige selv fører et dokumenteret tilsyn med databehandleren, er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige.

Afgørelse

1. Skriftligt tilsyn med Beskæftigelsesministeriets tilsyn med databehandlere

Beskæftigelsesministeriet var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Beskæftigelsesministeriets tilsyn med databehandlere.

Ved brev af 9. november 2021 varslede Datatilsynet tilsynet med Beskæftigelsesministeriet. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som Beskæftigelsesministeriet overlader følsomme og/eller fortrolige oplysninger til.

Beskæftigelsesministeriet fremkom den 30. november 2021 med en liste over ministeriets databehandlere.

På baggrund af listen valgte Datatilsynet til at starte med at foretage kontrol af Beskæftigelsesministeriets tilsyn med ministeriets databehandler Socialtilsyn Hovedstaden.

Beskæftigelsesministeriet oplyste imidlertid ved brev af 18. januar 2022, at Socialtilsyn Hovedstaden ophørte med at være databehandler for ministeriet den 1. januar 2022.

Datatilsynet valgte på den baggrund at foretage kontrol med Beskæftigelsesministeriets tilsyn med databehandleren VIVE.

Datatilsynet anmodede den 19. april 2022 Beskæftigelsesministeriet om at oplyse, om:

  • ministeriets plan for dets tilsyn med VIVE, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med,
  • om ministeriet har ført tilsyn med VIVE,
  • og hvordan ministeriet har fulgt op på eventuelle gennemførte tilsyn med VIVE.

Beskæftigelsesministeriet fremsendte på den baggrund den 9. maj 2022 en udtalelse i sagen.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Beskæftigelsesministeriets vurdering af, at ministeriets tilsyn med databehandleren VIVE sker i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

Beskæftigelsesministeriet har oplyst, at formålet med behandlingen er at gennemføre en analyse af modtagerne af det midlertidige børnetilskud og deres børns afsavn og økonomiske situation, herunder hvordan det midlertidige børnetilskud har påvirket deres oplevelse af dette. På baggrund af pseudonymiserede spørgeskemadata og registerdata foretager VIVE statistiske analyser. Behandlingen omfatter oplysninger om modtagere af det midlertidige børnetilskud i form af oplysninger om alder, køn, uddannelsesniveau, personnumre og væsentlige sociale problemer.

Beskæftigelsesministeriet har desuden oplyst, at hvis der ikke gør sig særlige forhold (risici) gældende, fører ministeriet årligt tilsyn med deres databehandlere. Beskæftigelsesministeriet har ikke vurderet, at der var grund til at afvige fra den kadence i forhold til VIVE.

Tilsyn med Beskæftigelsesministeriets databehandlere indledes typisk i 2. kvartal. Tilsynet med VIVE foretages på baggrund af en skabelon til ledelseserklæring, som Beskæftigelsesministeriet fremsender til databehandleren. Beskæftigelsesministeriet tilpasser forinden skabelonen ud fra det konkrete indhold af databehandleraftalen med instruks. Skabelonen indeholder en række spørgsmål, VIVE skal besvare. VIVE udfylder skabelonen, underskriver og sender retur til ministeriet. Beskæftigelsesministeriet stiller herefter uddybende spørgsmål, hvis det er nødvendigt. Fremgangsmåden med anvendelse af ledelseserklæring er fastlagt i databehandleraftalen.

Herudover har Beskæftigelsesministeriet oplyst, at tilsynet endnu ikke har ført tilsyn med VIVE. Det skyldes, at ministeriet indgik databehandleraftalen med VIVE den 10. august 2021, og VIVE derfor først kommer til at indgå i tilsynet for 2021, som indledes i 2. kvartal 2022. Beskæftigelsesministeriet har videre oplyst, at der ikke i behandlingen har været noget, der har udløst behov for tidligere tilsyn end det planlagte. 

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.

Det fremgår videre af vejledningen, at et tilsyn hvor den dataansvarlige selv fører et dokumenteret tilsyn med databehandleren, er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige. Dette kan f.eks. ske ved, at den dataansvarlige fremsender et skriftligt spørgeskema til databehandleren og følger op på svarene.

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Beskæftigelsesministeriets vurdering af, at ministeriets tilsyn med databehandleren VIVE sker i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Datatilsynet har herved lagt vægt på, at Beskæftigelsesministeriet fører tilsyn med VIVE ved at bede om svar på en række spørgsmål, som ministeriet har tilpasset ud fra det konkrete indhold af databehandleraftalen, og at Beskæftigelsesministeriet herefter stiller uddybende spørgsmål, hvis det er nødvendigt.

Datatilsynet finder således ikke anledning til at tilsidesætte Beskæftigelsesministeriets vurdering af, at ministeriets tilsyn med VIVE i form af en skabelon til ledelseserklæring og eventuel opfølgning på svaret udgør et passende tilsyn med databehandleren.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20med%20databehandlere_oktober-2021.pdf