Journalnummer: 2021-421-0102
Resume
Datatilsynet fandt, at der var grundlag for at udtale kritik af, at Styrelsen for International Rekrutterings (herefter SIRI) tilsyn med to databehandlere, Keesing Reference Systems og Thales Danmark A/S, ikke er sket i overensstemmelse med databeskyttelsesreglerne. Datatilsynet har lagt vægt på, at SIRI ikke førte tilsyn med databehandleren Keesing Reference Systems i 2021, samt at styrelsen i forhold til databehandleren Thales A/S ikke havde foretaget tiltag for at sikre, at Udlændingestyrelsens tilsyn med databehandleren ligeledes dækkede SIRIs interesser.
Efter en gennemgang af de konkrete omstændigheder i sagen vurderede Datatilsynet, at Thales A/S’ behandling af personoplysninger på vegne af SIRI har været reguleret af en kontrakt i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3.
Afgørelse
1. Skriftligt tilsyn med SIRIs tilsyn med databehandlere
Styrelsen for International Rekruttering og Integration (herefter SIRI) var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].
Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på SIRIs tilsyn med databehandlere.
Ved brev af 8. november 2021 varslede Datatilsynet tilsynet med SIRI. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som SIRI overlader følsomme og/eller fortrolige personoplysninger til.
SIRI fremkom den 29. november 2021 med en liste over styrelsens databehandlere.
På baggrund af listen valgte Datatilsynet at foretage kontrol af SIRIs tilsyn med styrelsens databehandlere Keesing Reference Systems og Thales Denmark A/S (herefter Thales).
Datatilsynet anmodede den 8. december 2021 SIRI om at oplyse, om:
- styrelsens plan for dets tilsyn med Keesing Reference Systems og Thales, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med
- hvorvidt styrelsen har ført tilsyn med de udvalgte databehandlere
- hvordan styrelsen har fulgt op på eventuelle gennemførte tilsyn med databehandlerne.
SIRI fremsendte på den baggrund den 24. januar 2022 en udtalelse i sagen. Udtalelsen gav Datatilsynet anledning til ved brev af 17. februar 2022 at stille en række spørgsmål om SIRIs tilsyn med de to databehandlere. SIRI besvarede brevet den 8. marts 2022.
Ved e-mail af 21. april 2022 bad Datatilsynet SIRI om at oplyse styrelsens plan for tilsyn med Thales. SIRI fremkom på den baggrund den 10. maj 2022 med en supplerende udtalelse i sagen.
2. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at SIRIs behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.
Det er Datatilsynets vurdering, at Thales’ behandling af personoplysninger på vegne af SIRI har været reguleret af en kontrakt i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
3.1. Keesing Reference Systems
Det fremgår af sagen, at Keesing Reference Systems er leverandør af Keesing-scannere, som er en del af SIRIs ID-kontrol på EU- og det internationale rekrutteringsområde. Keesing-scanneren benyttes som et supplement til at vurdere ægtheden af ID-dokumenter, herunder pas, ID-kort mv. der tilhører borgere, der enten er ansøger elle reference i en opholdssag. Keesing Reference Systems behandler i forbindelse med brugen af Keesing-scanneren de data, som bliver indlæst i scannerne med det formål at vurdere ægtheden. Keesing Reference Systems behandler i den forbindelse oplysninger om navn, nationalitet, adresse, fødselsdato, fødested, køn, højde, dato for udstedelse, dato for udløb, biometriske data i form af portrætfoto fra ID-kort, pas eller lignende og eventuelt nationalt identifikationsnummer.
SIRI har oplyst følgende om baggrund og plan for tilsyn med Keesing Reference Systems:
”SIRI har udarbejdet en tilsynsplan for styrelsens tilsyn med databehandleren Keesing Reference Systems. Der er i tilsynsplanen lagt op til, som udgangspunkt, at SIRI fører tilsyn med databehandleren ved at bede databehandleren om en årlig erklæring/rapport udført af en uafhængig tredjepart. SIRI orienterer sig i erklæringen/rapporten, og vurderer på den baggrund, hvorvidt SIRI bør indlede yderligere tilsynsskridt, da SIRI har forbeholdt sig muligheden for andre tilsynsformer (ad hoc tilsyn og fysiske tilsyn).
Tilsynsplanen er blevet til på baggrund af leverandørens dokumenterede niveau for informationssikkerhedsstyring, aktivets kritikalitet og de øvrige risici forbundet med behandlingen. Desuden er konklusionerne fra udførte risikovurderinger medtaget i overvejelserne om hvilken tilsynsform der passer bedst i forholdet mellem SIRI og databehandleren.
I forbindelse med indgåelse af databehandleraftalen blev der lavet en ISO-baseline risikovurdering samt en Privacy Impact Assessment (PIA). PIA-vurderingen har vist, at behandlingen overordnet set indebærer en mellem til høj risiko for de registrerede, da systemet benyttes til behandling af bl.a. pasoplysninger, der kan bruges til fx identitetstyveri. Henset til at leverandøren er ISO-certificeret, som udløber den 12. august 2022, er det SIRIs vurdering på nuværende tidspunkt, at tilsynsformen med indhentning af årlig revision udført af en uafhængig tredjepart giver en passende kontrol med databehandlingen hos databehandleren.”
SIRI har oplyst, at de har gennemført tilsyn med Keesing Reference Systems i sommeren 2020. Ved tilsynet blev der indhentet revisionsrapport, som SIRI gennemgik, og herefter vurderede SIRI, at databehandlerens behandling af personoplysninger på SIRIs vegne var tilfredsstillende.
SIRI har endvidere ført et ad-hoc tilsyn med Keesing Reference Systems i januar 2022 i forhold til databehandlerens efterlevelse af de i databehandleraftalen givne instrukser om sletning af personoplysninger. Baggrunden for ad-hoc tilsynet var, at SIRI blev opmærksom på Keesing Reference Systems’ manglende overholdelse af databehandleraftalens instruks om sletning af personoplysninger efter 30 dage. Det skyldtes, at databehandleren mente, at der manglede at blive underskrevet et formelt bilag uden for databehandleraftalen. SIRI har underskrevet erklæringen i januar, selvom styrelsen var af den opfattelse, at instruksen i databehandleraftalen var klar og tydelig. Keesing Reference Systems sletter nu data i overensstemmelse med sletteinstruksen i databehandleraftalen.
SIRI har anført, at styrelsen ikke har ført det planlagte årlige tilsyn med Keesing Reference Systems i 2021 grundet en større organisationsændring i SIRI og Borgerservice, som er ansvarligt fagkontor for databehandleraftalen med Keesing Reference Systems. Organisationsændringen betød en sammenlægning af flere kontorer, omstrukturering i SIRI og i de enkelte kontorer, herunder i særdeleshed Borgerservice. Borgerservice er nu i gang med at gennemføre det årlige tilsyn med Keesing Reference Systems i 2022 og vil snarest indhente revisionsrapport fra uafhængig tredjepart.
3.2. Thales Denmark A/S
Det fremgår af sagen, at Thales behandler data på vegne af SIRI i forbindelse med produktionen og leveringen af opholdskort til udlændinge. Thales behandler i den forbindelse oplysninger om navn, fødselsdato, adresse, tilladelsens art, personID, nationalitet, fødested, udstedelsessted, udstedelsesdato, udløbsdato, køn, biometriske data med henblik på entydig identifikation i form af portrætfoto, underskrift samt fingeraftryk til lagring i biometrichip på opholdskortet, personnumre og oplysning om ansøgning i Udlændinge- og Integrationsministeriet.
SIRI har oplyst, at styrelsen har haft dialog med Thales om indgåelse af databehandleraftale, siden efteråret 2020, hvor styrelsen blev klar over, at der ikke var indgået en databehandleraftale mellem SIRI og Thales. Arbejdet har trukket ud, da databehandleren ikke har ønsket at indgå databehandleraftale med SIRI, idet SIRI ikke er at betragte som part til hovedkontrakten. Indtil 2021 har SIRI benyttet hovedkontrakten, som er indgået mellem Udlændingestyrelsen og Thales, eftersom SIRI var en del af Udlændingestyrelsen i 2011, hvor kontrakten blev indgået.
SIRI er pr. 21. januar 2022 formelt tiltrådt som part i hovedkontrakten af 2. november 2011 mellem Udlændingestyrelsen og Thales. SIRI har desuden pr. 18. januar 2022 indgået en databehandleraftale med Thales. Forud for formalisering af aftalen mellem Thales, Udlændingestyrelsen og SIRI har det været SIRIs opfattelse, at styrelsen var omfattet af hovedkontrakten af 2. november 2011 mellem Thales og Udlændingestyrelsen som led i det koncernfælles samarbejde.
Herudover har SIRI oplyst, at styrelsens ressortopgaver blev udskilt fra Udlændingestyrelsen (dengang Udlændingeservice) i 2012, hvorefter de blev overført til det nyoprettede Styrelsen for Fastholdelse og Rekruttering (SFR). SFR blev i 2014 lagt sammen med Arbejdsmarkedsstyrelsen i det nyoprettede Styrelsen for Arbejdsmarked og Rekruttering (STAR). Ressortopgaverne blev i 2015 udskilt fra STAR til en selvstændig styrelse, Styrelsen for International Rekruttering og Integration, som siden har haft sin nuværende form under Udlændige- og Integrationsministeriet, hvor Udlændingestyrelsen også er placeret.
Det har således frem til efteråret 2020 været SIRIs opfattelse, på baggrund af det koncernfælles samarbejde og en vis fælles IT-infrastruktur, at leveranceaftalen mellem Udlændingestyrelsen og Thales – herunder den tilknyttede databehandleraftale – var tilstrækkelig dækkende med hensyn til produktion af opholdskort på SIRIs område.
I den forbindelse har SIRI oplyst, at styrelsen siden efteråret 2020, hvor ovenstående blev vurderet uhensigtsmæssigt, adskillige gange har prøvet at indgå en særskilt databehandleraftale med Thales, hvilket lykkedes den 18. januar 2022 som led i, at SIRI indgik som part i hovedkontrakten med Thales den 21. januar 2022.
SIRI har anført, at styrelsen indtil 2020 betragtede Udlændingestyrelsen som tilsynsførende med Thales, hvorfor SIRI vurderede, at styrelsen ikke havde et eget ansvar som tilsynsførende. SIRI har derfor ikke indgået aftaler med Udlændingestyrelsen om tilsyn med databehandleren, og SIRI har ikke foretaget tiltag for at sikre, at Udlændingestyrelsens tilsyn dækkede SIRIs interesser. SIRI har orienteret sig i Udlændingestyrelsens skriftlige tilsyn og gap-analyse med databehandleren i 2020, hvori der blev stillet spørgsmål vedrørende databehandleraftalen, tekniske og organisatoriske foranstaltninger, herunder hvorvidt der sker sletning af personoplysninger i overensstemmelse med databehandleraftalen.
I den forbindelse har SIRI endvidere oplyst, at styrelsen primo 2021 har udarbejdet en sårbarhedsvurdering som led i identifikation af potentielle sårbarheder i forbindelse med SIRIs virksomhed med udstedelse af opholdskort. En del af sårbarhedsvurderingen viste, at Thales kontroller og håndtering af fejl ved produktion af opholdskort forekommer umiddelbart fuldt tilstrækkelige. Vurderingen her var, at datasikkerheden generelt var acceptabel. SIRI havde derfor ikke planlagt yderligere tilsyn i forlængelse af sårbarhedsvurderingen.
Hertil har SIRI oplyst, at styrelsen derudover ikke har ført tilsyn med Thales uafhængigt af Udlændingestyrelsen. Det skal ses i lyset af, at SIRI for nylig er indgået som part i hovedkontrakten, og at SIRI i januar 2022 har indgået en databehandleraftale med Thales.
Det fremgår af databehandleraftalen, at SIRI årligt kan foretage et skriftligt tilsyn med databehandleren og/eller en fysisk inspektion af databehandlerens lokaliteter. I forlængelse af den indgåede databehandleraftale har SIRI arbejdet på at udforme en plan for SIRIs tilsyn med Thales i 1. kvartal 2022.
SIRI har efterfølgende oplyst, at styrelsen har udarbejdet en plan for tilsyn med Thales på baggrund af systemets kritikalitet og de øvrige risici forbundet med behandlingen.
SIRI har oplyst, at det lægges til grund for tilsynsplanen, at SIRI er indtrådt i hovedaftalen mellem Udlændingestyrelsen og Thales, at Udlændingestyrelsen og SIRI har nogenlunde samme leverancer, at Udlændingestyrelsen og SIRI bruger de samme systemer til at behandle og overføre oplysninger til Thales til brug for produktion af opholdskort, og at databehandleraftalen mellem SIRI og Thales er nær identisk med Udlændingestyrelsens databehandleraftale med Thales.
På den baggrund har SIRI vurderet, at en stor del af tilsynsbehovet med Thales kan dækkes ved, at SIRI gennemgår Udlændingestyrelsens tilsyn med leverandørens overholdelse af styrelsernes databehandleraftaler. Tilsynet udføres ud fra Udlændingestyrelsens tilsynskoncept, hvori der på baggrund af årlige gap-analyser fastlægges en plan for tilsyn med leverandøren.
I forbindelse med ovenstående tilsynsform udarbejder SIRI selvstændige supplerende spørgsmål til Thales baseret på årlige vurderinger af risici på en række karakteristika herunder bl.a. sikkerhedshændelser i forbindelse med leverandørens databehandling for SIRI. SIRI vurderer, at det er nødvendigt, at styrelsen stiller opfølgende tilsynsspørgsmål til Thales, da det kan tænkes, at der i relationen til leverandøren f.eks. kan være sikkerhedshændelser, der ikke vedrører Udlændingestyrelsen. SIRI forventer at foretage tilsyn i 3. kvartal 2022.
Derudover vil SIRI føre ad-hoc tilsyn efter omstændighederne, herunder f.eks. ved væsentlige tekniske og/eller organisatoriske ændringer hos leverandøren eller ved større sikkerhedshændelser mv.
4. Begrundelse for Datatilsynets afgørelse
Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.
Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.
Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.
Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).
Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).
Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.
Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.
Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.
Det fremgår videre af vejledningen, at et tilsyn baseret på et dokumenteret tilsyn med databehandleren udført af en uafhængig tredjepart er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige. Dette kan enten ske ved en erklæring udarbejdet af en uafhængig tredjepart, som for eksempel en revisorerklæring, eller ved at anvende en anden parts tilsyn, f.eks. en myndighed, der fører tilsyn på vegne af flere myndigheder.
Det fremgår også af vejledningen, at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at tilsynet dækker den dataansvarliges behandlingsaktiviteter hos databehandleren.
4.1.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at SIRIs tilsyn med databehandlerne Keesing Reference Systems og Thales ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.
Datatilsynet har herved lagt vægt på, at SIRI ikke førte tilsyn med Keesing Reference Systems i 2021.
Datatilsynet har endvidere lagt vægt på, at SIRI i en periode har benyttet Thales som databehandler, uden at SIRI havde foretaget tiltag for at sikre, at Udlændingestyrelsens tilsyn dækkede SIRIs interesser.
Datatilsynet finder i øvrigt Ikke grundlag for at tilsidesætte SIRIs vurdering af, at styrelsens tilsyn med databehandleren Keesing Reference Systems udgør et passende tilsyn med databehandleren.
Datatilsynet har herved lagt vægt på, at SIRI har udarbejdet tilsynsplanen ud fra en risikovurdering af den behandling, som Keesing Reference System foretager på vegne af SIRI, og at tilsynet føres ved at SIRI indhenter en årlig erklæring/rapport udarbejdet af en uafhængig tredjepart, og at SIRI orienterer sig i erklæringen/rapporten og på den baggrund vurderer, om der skal indledes yderligere tilsynsskridt.
Datatilsynet finder endvidere ikke grundlag for at tilsidesætte SIRIs vurdering af, at en stor del af tilsynsbehovet med Thales kan dækkes ved, at SIRI gennemgår Udlændingestyrelsens tilsyn med Thales’ overholdelse af styrelsernes databehandleraftaler.
Datatilsynet har herved lagt vægt på det oplyste om, at SIRI har inddraget i vurderingen af tilsynsplanen, at Udlændingestyrelsen og SIRI har nogenlunde samme leverancer, at styrelserne bruger de samme systemer til at behandle og overføre oplysninger til Thales til brug for produktion af opholdskort, og at databehandleraftalen mellem SIRI og Thales er nær identisk med Udlændingestyrelsens databehandleraftale med Thales.
Endvidere har Datatilsynet lagt vægt på, at SIRI ved tilsynsformen også udarbejder selvstændige supplerende spørgsmål til Thales baseret på årlige vurderinger af risici, herunder bl.a. sikkerhedshændelser i forbindelse med Thales’ databehandling på vegne af SIRI.
4.2.
Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, at en databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder.
Det er Datatilsynets vurdering, at Thales’ behandling af personoplysninger på vegne af SIRI har været reguleret af en kontrakt i overensstemmelse med artikel 28, stk. 3.
Datatilsynet har lagt vægt på de konkrete omstændigheder i sagen, herunder at der siden 2011 har været en hovedkontrakt med tilhørende databehandleraftale mellem Udlændingestyrelsen og Thales, der regulerede Thales’ behandling af personoplysninger, at SIRI på tidspunktet for indgåelse af hovedkontrakten var en del af Udlændingestyrelsen, at Thales’ behandling af personoplysninger på vegne af SIRI – efter Datatilsynets opfattelse – forekommer at være en videreførelse af samme behandlingsaktivitet, som oprindeligt blev foretaget på vegne af Udlændingestyrelsen (produktion og levering af opholdskort), og at behandlingsaktiviteten er overgået fra Udlændingestyrelsen til SIRI som led i ministerielle ressortomlægninger.[4]
Datatilsynet har herunder noteret sig, at SIRI siden har vurderet, at det er mest hensigtsmæssigt, at der foreligger en selvstændig databehandleraftale mellem SIRI og Thales, og at SIRI indgik en selvstændig databehandleraftale med Thales i januar 2022.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20med%20databehandlere_oktober-2021.pdf
[4] Vurderingen er bl.a. baseret på en analogi af Datatilsynets udtalelse med j.nr. 2013-212-0137, som kan findes på tilsynets hjemmeside: https://www.datatilsynet.dk/afgoerelser/historiske-afgoerelser/2013/dec/vedroerende-behandling-af-personoplysninger-i-forbindelse-med-grenspaltning