Tilsyn med Sundhedsdatastyrelsens tilsyn med to databehandlere

Dato: 16-12-2022

Sundhedsdatastyrelsens tilsyn med to databehandlere gav ikke anledning til kritik.

Journalnummer: 2021-421-0100

Resume

Datatilsynet har gennemført et skriftligt tilsyn med Sundhedsdatastyrelsens tilsyn med to af styrelsens databehandlere.

Datatilsynet fandt ikke anledning til at tilsidesætte Sundhedsdatastyrelsens vurdering af, at styrelsens tilsyn med Medcom og Netcompany IT and Business Consulting A/S i form af årlig indhentelse af revisionserklæringer – og fastsættelse af eventuelle foranstaltninger i det omfang gennemgang af erklæringerne giver anledning hertil – udgør passende tilsyn med databehandlerne.  

Afgørelse

1. Skriftligt tilsyn med Sundhedsdatastyrelsens tilsyn med databehandlere

Sundhedsdatastyrelsen var blandt de myndigheder, som Datatilsynet i efteråret 2021 havde udvalgt at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2].

Datatilsynets tilsyn var et skriftligt tilsyn, som fokuserede på Sundhedsdatastyrelsens tilsyn med databehandlere.

Ved brev af 9. november 2021 varslede Datatilsynet tilsynet med Sundhedsdatastyrelsen. Datatilsynet anmodede i den forbindelse om at få tilsendt en liste over databehandlere, som Sundhedsdatastyrelsen overlader følsomme og/eller fortrolige oplysninger til.

Sundhedsdatastyrelsen fremkom den 29. november 2021 med en liste over styrelsens databehandlere.

På baggrund af listen valgte Datatilsynet at foretage kontrol af Sundhedsdatastyrelsens tilsyn med styrelsens databehandlere Medcom og Netcompany IT and Business Consultning A/S (herefter Netcompany).

Datatilsynet anmodede den 8. december 2021 Sundhedsdatastyrelsen om at oplyse, om:

  • styrelsens plan for dets tilsyn med Medcom og Netcompany, herunder overvejelser om hyppighed og hvad der bliver ført tilsyn med
  • hvorvidt styrelsen har ført tilsyn med Medcom og Netcompany
  • hvordan styrelsen har fulgt op på eventuelle gennemførte tilsyn med Medcom og Netcompany.

Sundhedsdatastyrelsen fremsendte på den baggrund den 17. januar 2022 en udtalelse i sagen.

2. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Sundhedsdatastyrelsens vurdering af, at styrelsens tilsyn med databehandlerne Medcom og Netcompany er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

3. Sagsfremstilling

Det fremgår af sagen, at Medcom behandler personoplysninger på vegne af Sundhedsdatastyrelsen ved drift af Sundhedsdatanettet, herunder:

  • National adviseringsservice
  • Behandlingsrelationsservice
  • Security Token System (billetomveksling)
  • Minlog
  • Samtykkeservice
  • Fælles Stamkort
  • Fælles Medicinkort
  • Aftaler
  • Planer og indsatser
  • Dataindsamling, tilpasning, udvikling, bearbejdning og validering af data hos DAKI
  • Lukket e-Sundhed: formidling af data til kommunalt planlægningsbehov
  • Sundhedsplatformen. 

Det fremgår videre af sagen, at Netcompany behandler personoplysninger på vegne af Sundhedsdatastyrelsen ved support, fejlsøgning og videreudvikling af systemerne eSundhed, SOR, Forskerservice og Evaluering af rationel klinik.

Sundhedsdatastyrelsen har oplyst, at styrelsen næsten altid behandler fortrolige og følsomme personoplysninger (f.eks. personnumre og helbredsoplysninger). Behandlingen er kritisk for de registrerede og kræver derfor en højere grad af kontrol, som bedst opnås ved jævnlige tilsyn. Det gælder også i forhold til de to udvalgte databehandlere, Medcom og Netcompany.

Sundhedsdatastyrelsen har derfor valgt og skriftliggjort i en tilsynsprocedure, at der i forbindelse med tilsynet af styrelsens databehandlere, som udgangspunkt altid indhentes en ISAE3000 erklæring, der forholder sig til behandling af personoplysninger. Sundhedsdatastyrelsen har i øvrigt vurderet, at denne tilsynsprocedure ligger i god tråd med Datatilsynets vejledning om tilsyn med databehandlere fra oktober 2021.

Videre har Sundhedsdatastyrelsen anført, at baggrunden for dette valg er, at ISAE3000 erklæringer giver en god sammenhæng mellem behandling og erklæring – en af de højeste grader af sikkerhed ud over reelle inspektioner. Det er desuden forbundet med et markant lavere ressourcetræk hos både Sundhedsdatastyrelsen og databehandleren, hvilket giver styrelsen mulighed for at gennemføre tilsyn med en højere kadence, hvilket igen giver en højere sikkerhed.

For de to udvalgte databehandlere udføres der som udgangspunkt et årligt tilsyn, da de behandler følsomme og/eller fortrolige personoplysninger. Begge databehandlere afgiver en ISE3000 revisionserklæring udarbejdet af en uvildig revisor. Netcompany har også afgivet en ISAE3402 erklæring.

For så vidt angår hvad der bliver ført tilsyn med, har Sundhedsdatastyrelsen oplyst, at ved gennemgang af ISAE3000 erklæringen bliver der fulgt op på, hvorvidt erklæringen forholder sig til de af styrelsen indgåede databehandleraftaler og efterlevelse af kravene heri, ligesom der sker sammenligning med observationer fra forrige års tilsyn. Sundhedsdatastyrelsen anvender en intern skabelon for gennemgangen, som sikrer, at den er ensartet og passende. Derudover kan tilsynet formes efter relevante temaer eller på baggrund af konkrete hændelser.

Herudover har Sundhedsdatastyrelsen oplyst, at styrelsen har ført tilsyn med Medcom og Netcompany. Tilsynet udføres i første omgang af styrelsens informationssikkerhedsafdeling. Det er sket ved gennemgang af revisionserklæringer for begge databehandlere samt i visse tilfælde ved kommunikation med databehandlerne for at afklare bl.a. erklæringens scope og kontrollernes beskaffenhed. Efter gennemgangen udarbejder Sundhedsdatastyrelsen en intern tilsynsrapport, som styrelsen bl.a. anvender ved det efterfølgende tilsyn for at sikre sammenhæng mellem tilsynene og opfølgning på eventuelle revisionsanmærkninger.

For Medcom har Sundhedsdatastyrelsen senest modtaget og gennemgået en ISAE3000 type II revisionserklæring for perioden 2020, der er udført af en ekstern og uvildig revisor. Erklæringen var ikke specifikt udarbejdet for Sundhedsdatastyrelsen, men gennemgangen viste, at der var 1-1 sammenhæng mellem erklæringen og den ydelse som Sundhedsdatastyrelsen modtager. Tilsynet med Medcom er gennemført, og der er udarbejdet en intern tilsynsrapport den 11. november 2021. Tidligere tilsyn er gennemført den 4. marts 2020 (erklæring omhandlede 2018). Sundhedsdatastyrelsen modtog også en erklæring for behandlingen i 2019, som ligeledes blev gennemgået.

For Netcompany har Sundhedsdatastyrelsen senest modtaget og gennemgået en ISAE3000 type II erklæring og en ISAE3402 erklæring for perioden 2020, der begge er udført af en ekstern og uvildig revisor. ISAE3402 er en generel erklæring, men Sundhedsdatastyrelsen vurderede, at der var en passende sammenhæng imellem erklæringen og behandlingen. Tilsynet med Netcompany er gennemført, og der er udarbejdet en intern tilsynsrapport den 24. juni 2021.

Sundhedsdatastyrelsen har oplyst, at for de to udvalgte databehandlere har tilsynet baseret sig på en gennemgang af de modtagne revisionserklæringer samt styrelsens interne tilsynsrapport for de forrige tilsyn. De interne tilsynsrapporter, som udarbejdes efter gennemgangen af revisionserklæringerne, er ligeledes sendt til orientering til Sundhedsdatastyrelsens systemforvaltere, således at de er opmærksomme på eventuelle bekymringer. Såfremt tilsynet giver anledning til bekymring eller det vurderes, at yderligere tilsynstiltag er nødvendige, vil disse blive gennemført. Det har dog ikke være nødvendigt med Medcom og Netcompany.

Sundhedsdatastyrelsen har endvidere oplyst, at for Medcom var de revisorafgivne observationer i ISAE3000 erklæringen for 2018 ikke af en kritisk karakter, og databehandlerens plan for imødekommelse og foranstaltningstiltag forekom fornuftig. Sundhedsdatastyrelsen fulgte op på observationerne i forbindelse med det efterfølgende års revisionserklæringer for behandlingen i 2019 og igen i 2020. Her blev det tjekket, om observationerne var lukket, eller om der var fornuftig fremdrift i forhold til at løse dem, hvilket styrelsen har vurderet, at der var.

For Netcompany var de revisorafgivne observationer i ISAE3000 erklæringen for 2020 ligeledes ikke af kritisk karakter. Sundhedsdatastyrelsen har oplyst, at der vil blive indhentet en ny erklæring i 1. kvartal af 2022, hvorefter det vil blive undersøgt, hvorvidt der er taget hånd om de tidligere anførte observationer, eller om det kræver yderligere opfølgning.

Afslutningsvist har Sundhedsdatastyrelsen oplyst, at styrelsen gennemgår revisionserklæringerne internt, og at det på den baggrund vurderes om og i givet fald, hvilke foranstaltninger der skal iværksættes.

4. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 28, stk. 1, at en dataansvarlig udelukkende må benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder.

Af databeskyttelsesforordningens artikel 24, stk. 1, fremgår, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Den dataansvarlige skal således være i stand til at påvise, at databehandleren giver tilstrækkelige garantier for implementering af tekniske og organisatoriske foranstaltninger, der opfylder kravene i databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. Denne påvisning skal kunne foretages i hele behandlingsforløbet over tid, hvilket bl.a. kan ske ved kontroller.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (”lovlighed, rimelighed og gennemsigtighed”).

Endvidere følger det af forordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger (”integritet og fortrolighed”).

Herudover følger det af databeskyttelsesforordningens artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at artikel 5, stk. 1, overholdes.

Artikel 5, stk. 2, indeholder et ansvarlighedsprincip, som – efter Datatilsynet opfattelse – betyder, at den dataansvarlige skal sikre og kunne påvise, at personoplysninger behandles til lovlige og rimelige formål, og at oplysningerne behandles på en måde, som sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger – også når den dataansvarlige beder en anden part (en databehandler eller underdatabehandler) om at behandle oplysningerne på sine vegne.

Manglende opfølgning på den behandling af personoplysninger, der sker hos databehandlere og underdatabehandlere, vil – efter Datatilsynets opfattelse – som udgangspunkt betyde, at den dataansvarlige ikke kan sikre eller påvise behandlingens overholdelse af de generelle principper for behandling af personoplysninger, herunder at oplysningerne behandles på en lovlig, rimelig og gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«), samt at oplysningerne behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn[3]. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.

Det fremgår videre af vejledningen, at et tilsyn baseret på en erklæring udarbejdet af en uafhængig tredjepart er en måde, hvorpå den dataansvarlige kan føre et passende tilsyn, når databehandleren behandler følsomme eller fortrolige oplysninger om mange registrerede på vegne af den dataansvarlige.

Det fremgår også af vejledningen, at den dataansvarlige i den forbindelse bl.a. skal sikre sig, at tilsynet dækker den dataansvarliges behandlingsaktiviteter hos databehandleren.

Efter en gennemgang af sagen finder Datatilsynet ikke grundlag for at tilsidesætte Sundhedsdatastyrelsens vurdering af, at styrelsens tilsyn med databehandlerne Medcom og Netcompany er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1.

Datatilsynet har herved lagt vægt på, at Sundhedsdatastyrelsen har ført tilsyn med databehandlerne Medcom og Netcompany ved at indhente ISAE3000 erklæringer udarbejdet af eksterne og uvildige revisorer, at Sundhedsdatastyrelsen har gennemgået erklæringerne, udarbejdet interne tilsynsrapporter og fulgt op på tidligere observationer, og at Sundhedsdatastyrelsen har fulgt op på, hvorvidt erklæringen forholder sig til de af styrelsen indgåede databehandleraftaler og efterlevelse af kravene heri.

Datatilsynet har endvidere lagt vægt på, at Sundhedsdatastyrelsen har ført tilsyn med styrelsens databehandlere Medcom og Netcompany årligt, og at styrelsen har vurderet hyppigheden af tilsynene på baggrund af, at databehandlerne behandler fortrolige og følsomme personoplysninger om et stort antal registrerede på vegne af styrelsen.

Datatilsynet finder således ikke anledning til at tilsidesætte Sundhedsdatastyrelsens vurdering af, at styrelsens tilsyn med Medcom og Netcompany i form af årlig indhentelse af ISAE3000 revisorerklæringer – og fastsættelse af eventuelle foranstaltninger i det omfang gennemgang af erklæringerne giver anledning hertil – udgør passende tilsyn med databehandlerne.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Datatilsynets vejledning om tilsyn med databehandlere.