Journalnummer: 2006-329-0022
I forbindelse med lovforslaget om kommunale borgerservicecentre tilkendegav Indenrigs- og Sundhedsministeriet, at ministeriet i samarbejde med KL ville udarbejde vejledningsmateriale vedrørende oprettelse og anvendelse af borgerservicecentre.
I forlængelse heraf sendte Indenrigs- og Sundhedsministeriet den 25. januar 2006 Datatilsynet et udkast til et kapitel om datasikkerhed, som skulle indgå i en vejledning/guide om etablering af borgerservicecentre. Guiden blev udarbejdet sammen med KL.
Udkastet gav Datatilsynet anledning til en række bemærkninger, som tilsynet fremsendte den 10. februar 2006.
Bl.a. af tidsmæssige grunde valgte Indenrigs- og Sundhedsministeriet og KL at udskille kapitlet om datasikkerhed til en selvstændig vejledning.
Datatilsynet har herefter været i løbende dialog med Indenrigs- og Sundhedsministeriet, og der blev den 4. maj 2006 afholdt et møde med deltagelse af ministeriet, KL og Datatilsynet.
Indenrigs- og Sundhedsministeriet har den 1. juni 2006 fremsendt udkast til publikationen ”Datasikkerhed i borgerservicecentre – regler og praksis” med anmodning om Datatilsynets bemærkninger. Det er planen, at publikationen skal udgives i et samarbejde mellem ministeriet, KL og Datatilsynet.
Der er i udkastet til publikationen stillet en række mindre spørgsmål, som Datatilsynet vil besvare telefonisk. I denne udtalelse vil alene blive behandlet spørgsmålet om, hvilke yderligere sikkerhedsforanstaltninger der skal iværksættes i borgerservicecentre.
Det fremgår af vejledningen, at kommunerne kan vælge mellem forskellige ordninger, som styrker sikkerheden, f.eks. give medarbejderne særlig instruktion i datasikkerhed, foretage stikprøver af loggen fra anmeldelsespligtige systemer og give borgerne adgang til en overordnet log via en elektronisk selvbetjeningsløsning.
Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:
1. Generelle bemærkninger om styrkelse af behandlingssikkerheden
Efter persondatalovens § 41, stk. 3, skal der træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
Bestemmelsen er for den offentlige forvaltning nærmere udmøntet i sikkerhedsbekendtgørelsen.
Datatilsynet har flere gange i forbindelse med strukturreformen udtalt sig om behandlingssikkerhed. F.eks. Datatilsynets høringssvar af 7. april 2004 over Strukturkommissionens betænkning nr. 1434/2004, tilsynets høringsvar af 7. januar 2005 over forslaget til lov om kommunale borgerservicecentre og tilsynets brev af 30. marts 2005 med bidrag til besvarelse af spørgsmål 1 til L 72 (forslag til borgerservicecenterloven).
I Datatilsynets høringssvar af 7. januar 2005 over forslaget til lov om kommunale borgerservicecentre tilkendegav tilsynet, at den pågældende brug af medarbejdere til løsning af forskellige opgaver gør det påkrævet, at der i forbindelse med servicecenterkonstruktionen og IT-understøttelsen af centrene sker en forøgelse af behandlingssikkerheden, herunder med hensyn til styring af brugerrettigheder og interne kontrolordninger i forhold til medarbejdernes anvendelse af IT-systemerne.
Datatilsynet tilkendegav samtidig, at etablering af servicecentre medfører, at kommunerne må styrke uddannelse og vejledning af medarbejderne om behandlingen af personoplysninger, herunder navnlig under hvilke betingelser en medarbejder lovligt kan behandle personoplysninger, som vedkommende er autoriseret til.
Tilsynet udtalte desuden, at det herudover kan være relevant at supplere adgangskontrol og autorisationsordninger med andre løsninger.
2. De tre foreslåede ordninger
Indledningsvis bemærkes, at tilsynets krav til datasikkerheden ikke alene har karakter af anbefalinger. Det følger således af § 4 i sikkerhedsbekendtgørelsen, at Datatilsynet kan komme med henstillinger over for den dataansvarlige myndighed vedrørende de trufne sikkerhedsforanstaltninger. Tilsynet skal derfor anmode om, at det på side 3 præciseres, at der er tale om tilsynets henstillinger til styrkelse af datasikkerheden og ikke tilsynets anbefalinger.
Datatilsynet finder endvidere, at det skal fremgå af vejledningen – f.eks. som et nyt afsnit 2 på side 17 – at kommunens udmøntning af de i publikationen beskrevne krav så vidt muligt skal udformes som bindende tjenestebefalinger til medarbejderne.
I det følgende vil Datatilsynet kommentere de tre forslag til ordninger til styrkelse af behandlingssikkerheden, som er nævnt i vejledningen.
Det skal understreges, at der efter tilsynets opfattelse ikke – som anført på side 7 i publikationen – er valgfrihed for kommunerne mellem de tre foreslåede ordninger.
2.1. Instruktion af medarbejdere
Efter sikkerhedsbekendtgørelsens § 6 skal den dataansvarlige myndighed give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af § 5 (myndighedens uddybende sikkerhedsregler).
Datatilsynet skal generelt bemærke, at den øgede adgang til fortrolige og følsomme personoplysninger i borgerservicecentre selvsagt gør instruktionen af medarbejderne helt central. Tilsynet finder det positivt, at der lægges op til at højne medarbejdernes viden om datasikkerhed med kurser mv.
Selv en skærpet instruktion til medarbejderne kan imidlertid efter Datatilsynets opfattelse ikke i sig selv udgøre en tilstrækkelig styrkelse af behandlingssikkerheden. Tilsynet lægger i den forbindelse vægt på, at forpligtelsen til at give fornøden instruktion allerede påhviler kommunerne efter sikkerhedsbekendtgørelsens § 6.
Datatilsynet finder, at behovet for styrkelse af uddannelse og vejledning af medarbejderne gælder ved siden af behovet for forøgelsen af behandlingssikkerheden. Der skal således under alle omstændigheder gives medarbejderne den instruktion, der er fornøden under hensyn til medarbejderens opgaver. Tilsynet forudsætter, at medarbejderne i borgerservicecentre får særlig instruktion i datasikkerhed.
Det bemærkes, at overskriften i boksen på side 17 i vejledningen bør være ”Medarbejderne skal især vejledes i:” og ikke ”Medarbejderne bør…”.
2.2. Borgernes adgang til log-oplysninger
Efter persondatalovens § 31 er der ikke ret til indsigt i den log, der efter sikkerhedsbekendtgørelsens § 19 skal foretages ved behandling af oplysninger omfattet af anmeldelsespligten til Datatilsynet.
Datatilsynet har imidlertid ved flere lejligheder udtalt, at det som led i styrkelsen af behandlingssikkerheden kan overvejes at gøre oplysninger om, hvem der har set oplysninger om en borger, tilgængelige i en elektronisk selvbetjeningsløsning. Dette kendes fra den medicinprofil, som Lægemiddelstyrelsen er dataansvarlig for.
I vejledningen er anført en række forhold, som kommunerne skal være opmærksomme på ved etablering af sådanne løsninger.
Det er Datatilsynets opfattelse, at muligheden for adgang til sådanne oplysninger er værdifuld for borgerne. Tilsynet skal således opfordre til, at der under alle omstændigheder arbejdes videre med denne løsning. Datatilsynet skal anmode om at blive orienteret om, hvad der foretages vedrørende denne løsning, samt det tidsmæssige perspektiv herfor.
Datatilsynet skal i den forbindelse påpege, at angivelsen af, hvem der har indhentet oplysninger om en borger, må ske på et niveau, der er relevant og tilstrækkeligt præcist til, at løsningen kan tjene sit formål.
Tilsynet skal opfordre til, at kommuner, der påtænker at etablere sådanne løsninger, kontakter Datatilsynet med henblik på nærmere drøftelser om udformningen, sikkerhedsniveauet osv.
Datatilsynet må samtidig understrege, at en borgeradgang til log-oplysninger ikke afskærer retten til indsigt efter persondatalovens § 31.
2.3. Stikprøvekontrol af loggen
Datatilsynet finder, at den øgede adgang til personoplysninger i borgerservicecentre gør det påkrævet, at der foretages stikprøvekontrol af loggen. Dette gælder dog alene systemer, hvori der indgår anmeldelsespligtige behandlinger af personoplysninger, dvs. systemer, hvor der efter sikkerhedsbekendtgørelsen allerede er krav om logning.
Ifølge udkastet til publikationen skal stikprøverne foretages på kommunens eget initiativ, med jævne mellemrum og med vilkårlige intervaller.
Der er i den forbindelse givet et eksempel på, hvordan ordningen kan være beskrevet i kommunens uddybende sikkerhedsregler.
Datatilsynet finder, at det i eksemplet anførte, hvorefter kontrollen foretages med forskellige intervaller, dog højst 6 måneder, er udtryk for en passende afvejning af de bagvedliggende hensyn.
Datatilsynet skal herefter henstille, at kommuner, der etablerer borgerservicecentre, som minimum foretager stikprøvekontrol af logfiler i et omfang, der svarer til det anførte i eksempelboks 8 i udkastet til publikationen. Tilsynet finder, at det bør fremgå af selve teksten (og ikke blot som eksempel), at kontrollen skal foretages som anført.
Det tilføjes, at Datatilsynet vil være indstillet på at lade den manuelle stikprøvekontrol af loggen erstatte af en automatiseret overvågning, der bl.a. afdækker uhensigtsmæssige eller usædvanlige søgemønstre og dermed er bedre egnet end stikprøvekontrol til at afsløre misbrug.
3. Afsluttende bemærkninger
Datatilsynet forventer at blive hørt over den vejledning til medarbejderne i borgerservicecentre, som er under udarbejdelse. Tilsynet forudsætter, at forslaget om, at medarbejderne skal notere, hvorfor oplysningerne er indhentet, overvejes i forbindelse med udarbejdelsen af vejledningen til medarbejderne i borgerservicecentrene.
Tilsynet vil snarest kontakte Indenrigs- og Sundhedsministeriet med henblik på besvarelse af de øvrige spørgsmål, som er rejst i udkastet til publikationen.