Tilsyn med Hjemrejsestyrelsens tilsyn med en databehandler

Dato: 15-12-2022
Afgørelse Offentlige myndigheder Ingen kritik Tilsyn / egendriftssag Databehandler Grundlæggende principper

Hjemrejsestyrelsens tilsyn med en databehandler gav ikke anledning til kritik.

Journalnummer: 2021-421-0101

Resume

Datatilsynet har gennemført et skriftligt tilsyn med Hjemrejsestyrelsens tilsyn med en af styrelsens databehandlere.

Datatilsynet fandt ikke anledning til at tilsidesætte Hjemrejsestyrelsens vurdering af, at styrelsens tilsyn med UIM Koncern IT i form af indsigt i UIM Koncern IT’s sikkerhed og databeskyttelse gennem løbende dialog, og et udgangspunkt i årlige rapporter fra Udlændinge- og Integrationsministeriets databeskyttelsesrådgiver og fra UIM Koncern IT selv, og eventuelle reaktioner i det omfang tilsynene med UIM Koncern IT giver anledning hertil, udgør et passende tilsyn med databehandleren.

Afgørelse

1. Skriftligt tilsyn med Hjemrejsestyrelsens tilsyn med databehandlere

Hjemrejsestyrelsen var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Hjemrejsestyrelsens tilsyn med databehandlere.

Ved brev af 8. november 2021 varslede Datatilsynet tilsynet med Hjemrejsestyrelsen. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som Hjemrejsestyrelsen overlader følsomme og/eller fortrolige personoplysninger til.

Hjemrejsestyrelsen fremkom den 29. november 2021 med en liste over styrelsens databehandlere.

På baggrund af listen valgte Datatilsynet at foretage kontrol af Hjemrejsestyrelsens tilsyn med styrelsens databehandler UIM Koncern It (herefter KIT).

Datatilsynet anmodede den 8. december 2021 Hjemrejsestyrelsen om at oplyse, om:

  • styrelsens plan for dets tilsyn med KIT, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med
  • hvorvidt styrelsen har ført tilsyn med KIT
  • hvordan styrelsen har fulgt op på eventuelle gennemførte tilsyn med KIT.

Hjemrejsestyrelsen fremsendte på den baggrund den 19. januar 2022 en udtalelse i sagen.

Datatilsynet anmodede den 12. juli 2022 om en supplerende udtalelse i sagen, som Hjemrejsestyrelsen den 9. august 2022 fremkom med.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Hjemrejsestyrelsens vurdering af, at styrelsens tilsyn med databehandleren KIT er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

Indledningsvist har Hjemrejsestyrelsen oplyst, at styrelsen er oprettet den 1. august 2020 og i den forbindelse har overtaget en række opgaver fra myndigheder i både Udlændinge- og Integrationsministeriets koncern (herefter UIM) og Justitsministeriets koncern. Hjemrejsestyrelsens primære it-leverandør er KIT, placeret i UIM’s departement, og Statens It. Som udgangspunkt benytter Hjemrejsestyrelsen ikke andre it-leverandører eller databehandlere.

Hjemrejsestyrelsen har oplyst, at KIT som databehandler for styrelsen forvalter styrelsens it, herunder styrelsens centrale journal- og sagsbehandlingssystemer, databaser og kommunikationsløsninger. KIT har adgang til personoplysninger i forbindelse med bl.a. vedligeholdelse, drift af middleware og applikationslaget samt support.

KIT behandler på vegne af Hjemrejsestyrelsen oplysninger om identitet, portrætbilleder, civilstand, statsborgerskab og nationalitet, rejserute, beskæftigelse, oplysninger om familie, fagforeningsmæssige tilhørsforhold, oplysninger om asylretlige forhold, e-mailadresse, telefonnummer, adresse, sagsnumre, personID, oplysninger om sociale forhold, lønoplysninger, oplysninger om religiøs eller filosofisk overbevisning, helbredsoplysninger, biometriske data med henblik på identifikation, seksuelle forhold, personnumre og oplysninger om straffedomme og lovovertrædelser.

3.1. Baggrund og plan for tilsyn med UIM Koncern It

Hjemrejsestyrelsen har oplyst til sagen, at KIT er en fælles it-funktion i UIM, der forvalter centrale it-systemer på vegne af alle myndigheder i UIM’s koncern.

De enkelte myndigheder i UIM’s koncern er selvstændige dataansvarlige, og KIT er organisatorisk placeret i UIM’s departement. Myndighederne i UIM’s koncern har derfor vurderet, at relationen mellem KIT og de enkelte styrelser, herunder Hjemrejsestyrelsen, er databehandlerrelationer. Rammerne for Hjemrejsestyrelsens tilsyn med KIT er derfor fastlagt i en databehandleraftale mellem Hjemrejsestyrelsen og KIT.

Den valgte tilsynsmodel afspejler, at Hjemrejsestyrelsen og KIT er koncernforbundne, og at der derfor er et væsentligt tættere samarbejde mellem den dataansvarlige og databehandleren end i et typisk leverandørforhold. Hjemrejsestyrelsen har således løbende dialog med KIT i forbindelse med en lang række udvalgsmøder, samarbejdsmøder, deltagelse i it-projekter mv. Hjemrejsestyrelsen får herved en indsigt i KIT’s håndtering af sikkerhedshændelser, leverandørforhold og andre emner relateret til sikkerhed og databeskyttelse, som i et typisk leverandørforhold ville kræve meget hyppige tilsyn.

Tilsynsmodellen er derudover inspireret af det tilsyn, som Finanstilsynets Kontor for Revision og Tilsyn fører med Statens It på vegne af kunderne. Tilsyn sker således med udgangspunkt i årlige rapporter fra departementets databeskyttelsesrådgiver og fra KIT selv.

Hjemrejsestyrelsen har oplyst, at departementets databeskyttelsesrådgiver årligt udarbejder en afrapportering vedrørende databeskyttelse i departementet, herunder i KIT. Derudover udarbejder KIT årligt en statusrapport for informationssikkerhedsarbejdet. Begge rapporter forelægges UIM’s It-udvalg, hvor Hjemrejsestyrelsen er repræsenteret på direktionsniveau.

Hjemrejsestyrelsens informationssikkerhedsteam, der også omfatter styrelsens databeskyttelsesrådgiver, gennemgår rapporterne med særlig fokus på emner af betydning for informationssikkerhed og databeskyttelse i Hjemrejsestyrelsen. Gennemgang af rapporterne indgår som en fast opgave i informationssikkerhedsteamets årshjul.

Rapporterne udarbejdes typisk i løbet af 1. kvartal, og Hjemrejsestyrelsens tilsyn gennemføres herefter.

Hjemrejsestyrelsen har oplyst, at status for informationssikkerhed er et fast punkt på møderne i UIM’s It-udvalg. IT-udvalgsmøder afholdes med jævne mellemrum, typisk seks gange årligt. Her orienterer KIT typisk om større sikkerhedshændelser, resultater af eksterne tilsyn, samarbejde med underleverandører, awareness-indsatser og lignende.

Materiale til it-udvalgsmøderne bliver gennemgået af Hjemrejsestyrelsens informationssikkerhedsteam inden møderne med særligt fokus på emner af betydning for informationssikkerhed og databeskyttelse i Hjemrejsestyrelsen.

Herudover har Hjemrejsestyrelsen oplyst, at hvis styrelsen – i forbindelse med gennemgang af årsrapporterne, møder i it-udvalget eller samarbejdet med KIT i øvrigt – bliver opmærksom på forhold, som Hjemrejsestyrelsen ønsker yderligere belyst eller dokumenteret, stiller Hjemrejsestyrelsen forslag herom i it-udvalget. It-udvalget træffer herefter beslutning om tilsynet. Konkret eller tematiseret tilsyn kan både ske på baggrund af materiale forelagt UIM’s It-udvalg, konstaterede sikkerhedshændelser eller andre risici konstateret af Hjemrejsestyrelsen.

Det er Hjemrejsestyrelsens opfattelse, at ovennævnte tilsynsform giver en passende kontrol med databehandlingen hos KIT, herunder med henblik på at sikre, at databehandleraftalen og de databeskyttelsesretlige krav overholdes.

3.2. Gennemførte tilsyn

Hjemrejsestyrelsen har oplyst til sagen, at siden oprettelsen i august 2020 har styrelsen deltaget i UIM’s It-udvalg. Endvidere har styrelsens informationssikkerhedsteam siden oprettelsen af teamet i oktober 2020 givet bemærkninger til emner af betydning for informationssikkerhed og databeskyttelse i Hjemrejsestyrelsen inden alle møder i it-udvalget. Det løbende tilsyn med informationssikkerheden i forbindelse med disse møder er således gennemført siden udgangen af 2020.

Hjemrejsestyrelsen har ved udtalelse af 19. januar 2022 oplyst, at styrelsen netop havde gennemgået rapporten fra departementets databeskyttelsesrådgiver for 2021. KIT’s afrapportering på informationssikkerhedsområdet for 2021 var endnu ikke færdiggjort. Hjemrejsestyrelsen ville foretage en gennemgang af KIT’s årsrapport i overensstemmelse med informationssikkerhedsteamets tilsynsplan, når denne forelå, forventeligt i løbet af 1. kvartal 2022.

Ved udtalelse af 9. august 2022 har Hjemrejsestyrelsen oplyst, at styrelsen den 4. og 5. august 2022 har gennemgået årsrapporten fra KIT og sammenholdt denne med årsrapporten fra Udlændinge- og Integrationsministeriets DPO for 2021. Som afslutning af tilsynet har styrelsen efterfølgende udarbejdet en afrapportering med konklusioner.

I den forbindelse har Hjemrejsestyrelsen oplyst, at styrelsen forventede årsrapporten fra KIT i løbet af 1. kvartal 2022, og styrelsen meddelte derfor dette til Datatilsynet den 19. januar 2022. Årsrapporten var forsinket, hvorfor Hjemrejsestyrelsen var i dialog med KIT herom, bl.a. med henblik på styrelsens tilsyn. KIT har den 16. juni 2022 sendt årsrapporten til Hjemrejsestyrelsen, men styrelsen har på baggrund af en beklagelig ekspeditionsfejl, først gennemgået årsrapporten den 4. og 5. august 2022.

3.3. Opfølgning efter tilsyn

Hjemrejsestyrelsen har ved udtalelse af 19. januar 2022 oplyst til sagen, at styrelsen løbende følger op på sikkerhedsemner af relevans for styrelsen og er i en tæt dialog med KIT og UIM’s departement herom. Blandt andet har Hjemrejsestyrelsen været i dialog med KIT om håndteringen af sikkerhedshændelser på de systemer, der forvaltes af KIT på styrelsens vegne.

Opfølgning på tilsyn er en fast del af Hjemrejsestyrelsens procedure for leverandørstyring. I det omfang tilsynene med KIT giver anledning til reaktioner fra Hjemrejsestyrelsens side, vil opfølgning ske i overensstemmelse med disse procedurer.

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Hjemrejsestyrelsens vurdering af, at styrelsens tilsyn med databehandleren KIT er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Datatilsynet har herved lagt vægt på, at Hjemrejsestyrelsen – eftersom Hjemrejsestyrelsen og KIT er koncernforbundne – løbende har dialog med KIT i forbindelse med it-udvalgsmøder, samarbejdsmøder, deltagelse i it-projekter mv., og at Hjemrejsestyrelsen efter det oplyste i den forbindelse får en indsigt i KIT’s håndtering af sikkerhedshændelser, leverandørforhold og andre emner relateret til sikkerhed og databeskyttelse, som i et typisk leverandørforhold ville kræve meget hyppige tilsyn.

Datatilsynet har endvidere lagt vægt på, at Hjemrejsestyrelsen har gennemgået UIM’s databeskyttelsesrådgivers rapport for 2021 om databeskyttelse i departementet, herunder i KIT, at Hjemrejsestyrelsen har gennemgået  KIT’s årlige statusrapport for informationssikkerhedsarbejdet for 2021, at Hjemrejsestyrelsens informationssikkerhedsteam efter det oplyste gennemgår rapporterne med særligt fokus på emner af betydning for informationssikkerhed og databeskyttelse i Hjemrejsestyrelsen, og at opfølgning på tilsyn er en fast del af Hjemrejsestyrelsens procedure for leverandørstyring.

Datatilsynet finder således ikke anledning til at tilsidesætte Hjemrejsestyrelsens vurdering af, at styrelsens tilsyn med KIT i form af indsigt i KIT’s sikkerhed og databeskyttelse gennem løbende dialog, og et udgangspunkt i årlige rapporter fra UIM’s databeskyttelsesrådgiver og fra KIT selv, og eventuelle reaktioner i det omfang tilsynene med KIT giver anledning hertil, udgør et passende tilsyn med databehandleren.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20med%20databehandlere_oktober-2021.pdf