Tilsyn med Forsvarsministeriets Personalestyrelses tilsyn med to databehandlere

Dato: 15-12-2022

Forsvarsministeriets Personalestyrelses tilsyn med to databehandlere gav ikke anledning til kritik.

Journalnummer: 2021-421-0098

Resume

Datatilsynet har gennemført et skriftligt tilsyn med Forsvarsministeriets Personalestyrelses tilsyn med to af styrelsens databehandlere.

Datatilsynet fandt ikke grundlag for at tilsidesætte Forsvarsministeriets Personalestyrelses vurdering af, at styrelsens tilsyn med databehandlerne Falck Healthcare A/S og Itadel var sket i overensstemmelse med databeskyttelsesreglerne.

Datatilsynet lagde ved vurderingen vægt på, at Forsvarsministeriets Personalestyrelse havde ført tilsyn med styrelsens databehandler Falck Healthcare A/S ved at fremsende en anmodning om en skriftlig status på forhold, der er omfattet af databehandleraftalen, herunder nogle udvalgte emner. Styrelsen havde også forholdt sig til svarene og vurderet, at de gav tilstrækkelig indikation af, at Falch Healthcare A/S overholder databehandleraftalen.

Datatilsynet lagde endvidere vægt på, at Forsvarsministeriets Personalestyrelse havde ført tilsyn med styrelsens databehandler Itadel ved at indhente revisionserklæringer og anmode om yderligere dokumentation for, at Itadel havde ført passende tilsyn med deres underdatabehandlere. Forsvarsministeriets Personalestyrelse havde desuden ud over det årlige tilsyn og underretningspligten ved eventuelle brud aftalt, at Itadel aktivt orienterer styrelsen om aktuelle informationssikkerhedsmæssige trusler, sårbarheder eller hændelser, som kan påvirke styrelsens løsning.

Afgørelse

1. Skriftligt tilsyn med Forsvarsministeriets Personalestyrelse

Forsvarsministeriets Personalestyrelse (herefter FPS) var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på FPS’ tilsyn med databehandlere.

Ved brev af 9. november 2021 varslede Datatilsynet tilsynet med FPS. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som FPS overlader følsomme og/eller fortrolige personoplysninger til.

FPS fremkom den 1. februar 2022 med en liste over styrelsens databehandlere.

På baggrund af listen valgte Datatilsynet at foretage kontrol af FPS’ tilsyn med styrelsens databehandlere Falck Healthcare A/S (herefter Falck Healthcare) og Gnosis Data Analytics PC (herefter Gnosis).

FPS oplyste imidlertid telefonisk den 28. februar 2022, at FPS i 2020 ophørte samarbejdet med Gnosis.

Datatilsynet valgte på den baggrund at foretage kontrol af FPS’ tilsyn med styrelsens databehandler Itadel i stedet for Gnosis.

Datatilsynet anmodede FPS om at oplyse, om:

  • styrelsens plan for dets tilsyn med Falck Healthcare og Itadel, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med,
  • hvorvidt styrelsen har ført tilsyn med de udvalgte databehandlere, og
  • hvordan styrelsen har fulgt op på eventuelle gennemførte tilsyn med databehandlerne.

For så vidt angår Falck Healthcare fremsendte FPS den 17. marts 2022 en udtalelse i sagen.

FPS fremsendte den 31. marts 2022 en udtalelse i sagen vedrørende Itadel.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte FPS’ vurdering af, at styrelsens tilsyn med databehandlerne Falck Healthcare og Itadel er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

FPS har oplyst, at FPS har en tilsynsplan for både Falck Healthcare og Itadel. Tilsynsplanen er dokumenteret i et excel-ark, suppleret af FPS’ interne procesbeskrivelse om tilsyn med databehandlere. Baggrunden for tilsynsplanen er en kategorisering af databehandlere efter metoden beskrevet i Datatilsynets vejledning om tilsyn med databehandlere. Hyppigheden er som udgangspunkt ét årligt tilsyn, dette gælder også Falck Healthcare og Itadel. Dette udgangspunkt fraviges, hvis risikoen forbundet med en given databehandler begrunder en justering af hyppigheden.

3.1. Falck Healthcare

Det fremgår af sagen, at Falck Healthcare behandler personoplysninger som databehandler for FPS i forbindelse med speciallægeerklæringer. Falck Healthcare behandler i den forbindelse for- og efternavn, personnumre, adresse, oplysninger om hvilken type af speciallægeerklæringer der skal indhentes, oplysninger om verserende sager hos Helbredsnævnet, dato og tid for konsultation og eventuelle informationer om udeblivelse fra konsultation.

FPS har oplyst, at der føres tilsyn med Falck Healthcare efter det såkaldte koncept 3, jf. Datatilsynets vejledning om tilsyn med databehandlere, herunder de punkter i databehandleraftalen, som skønnes at være mest væsentlige.

FPS har i den forbindelse oplyst, at styrelsen har gennemført disse tilsyn med Falck Healthcare ved at fremsende en anmodning om en skriftlig status på forhold, der er omfattet af databehandleraftalen. Anmodningen indskærper, at denne status som minimum skal beskrive, hvordan udvalgte emner i databehandleraftalen overholdes. Ved tilsynet med Falck Healthcare var de udvalgte emner:

  1. Organisering af arbejdet med Informationssikkerhed generelt
  2. Adgangsstyring
  3. Logning af adgang til personoplysninger
  4. Sikring af passende kryptering ved transmission af personoplysninger
  5. Hvilke brud databehandleren har haft, som er af relevans for FPS

Om opfølgning på det gennemførte tilsyn har FPS oplyst, at Falck Healthcare er orienteret om, at FPS ikke havde anmærkninger til deres besvarelse, eftersom FPS vurderede, at Falck Healthcares svar gav tilstrækkelig indikation af, at Falck Healthcare overholder databehandleraftalen. Chefen for den juridiske afdeling i FPS, som er kontraktejer af aftalen med Falck Healthcare, er orienteret om udfaldet af tilsynet.

3.2. Itadel

Det fremgår af sagen, at Itadel behandler personoplysninger som databehandler for FPS i forbindelse med Novax Session Terminal adgang. Itadel behandler i den forbindelse oplysninger om racemæssig eller etnisk baggrund, religiøs overbevisning, politisk tilhørsforhold/overbevisning, helbredsforhold, f.eks. gennem journalnoter, seksuel orientering samt oplysninger om rent private forhold, væsentlige sociale problemer og strafbare forhold, personnummer og oplysninger fra CPR-registeret, navn, adresse, kontaktoplysninger, stillingsbetegnelse, sociale problemer, sygedage, tjenstlige forhold, familieforhold og andre private forhold. 

Det fremgår endvidere af sagen, at behandlingen består i registrering, bearbejdning, arkivering, persistering og videregivelse af sundhedsdata i relevant og fornødent omfang.

FPS har oplyst, at der føres tilsyn med Itadel efter det såkaldte koncept 6, jf. Datatilsynets vejledning om tilsyn med databehandlere.

Ud over det årlige tilsyn og underretningspligten ved eventuelle databrud er det aftalt, at Itadel aktivt orienterer FPS om aktuelle informationssikkerhedsmæssige trusler, sårbarheder eller hændelser, som kan påvirke FPS’ løsning. FPS har erfaret, at Itadel flere gange årligt orienterer FPS om sådanne forhold, hvorefter FPS’ informationssikkerhedspersonale går i dialog med Itadel om, hvordan sagen skal håndteres.

FPS har endvidere oplyst, at FPS har ført tilsyn med Itadel ved selv at gennemføre et dokumenteret tilsyn. De seneste tilsyn blev gennemført før offentliggørelsen af Datatilsynets vejledning om tilsyn med databehandlere, men tilsynsmetoden svarer til koncept 6. Konkret indhentede FPS en ISAE 3000 revisionserklæring, som sigter på at dokumentere Itadels generelle overholdelse af forordningen, samt en ISAE 3402 revisionserklæring, som dokumenterer Itadels it-kontroller. Begge revisionserklæringer blev udarbejdet af PWC året før FPS’ tilsyn. Derudover blev Itadel anmodet om at fremsende yderligere dokumentation for, at de havde ført passende tilsyn med deres underdatabehandlere. Der blev også afholdt et virtuelt møde, hvor FPS stillede uddybende spørgsmål på baggrund af det modtagne materiale.

Om opfølgningen på det gennemførte tilsyn har FPS oplyst, at det fremsendte materiale, sammenholdt med Itadels mundtlige og skriftlige svar på de opfølgende spørgsmål, var tilfredsstillende. Itadel blev telefonisk orienteret om, at tilsynet ikke gav anledning til anmærkninger. Den chef i FPS, som er kontraktejer af aftalen med Itadel, blev mundtligt orienteret om udfaldet af tilsynet.

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.

Det fremgår videre af vejledningen, at et tilsyn baseret på et dokumenteret tilsyn med databehandleren udført af den dataansvarlige selv (koncept 6) eller en uafhængig tredjepart (koncept 5), er måder, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige.

Det fremgår også af vejledningen, at et tilsyn, hvor databehandleren årligt giver den dataansvarlige en skriftlig status på forhold, der er omfattet af databehandleraftalen (koncept 3), er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandlerens behandling af personoplysninger på vegne af den dataansvarlige er mindre risikofyldt.

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte FPS’ vurdering af, at styrelsens tilsyn med databehandlerne Falck Healthcare og Itadel er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Datatilsynet har herved lagt vægt på, at FPS har ført tilsyn med Falck Healthcare ved at fremsende en anmodning om en skriftlig status på forhold, der er omfattet af databehandleraftalen, herunder nogle udvalgte emner, og at FPS har forholdt sig til svarene og vurderet, at de gav tilstrækkelig indikation af, at Falck Healthcare overholder databehandleraftalen.

Datatilsynet har endvidere lagt vægt på, at FPS har ført tilsyn med Itadel ved at indhente en ISAE3000 revisionserklæring og en ISAE3402 revisionserklæring, at FPS derudover anmodede Itadel om at fremsende yderligere dokumentation for, at de havde ført passende tilsyn med deres underdatabehandlere, og at FPS ud over det årlige tilsyn og underretningspligten ved eventuelle brud har aftalt med Itadel, at databehandleren aktivt orienterer FPS om aktuelle informationssikkerhedsmæssige trusler, sårbarheder eller hændelser, som kan påvirke FPS’ løsning.

Datatilsynet finder således ikke anledning til at tilsidesætte FPS’ vurdering af, at styrelsens tilsyn med Falck Healthcare og Itadel udgør passende tilsyn med databehandlerne.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20med%20databehandlere_oktober-2021.pdf