Journalnummer: 2012-112-0011
Hermed fremsendes Datatilsynets bemærkninger til ovennævnte høring, hvor Digitaliseringsstyrelsen ved e-post af 27. januar 2012 har bedt om tilsynets bemærkninger.
1. Datatilsynet finder det uklart, hvorvidt borgerne og virksomhederne stadig har ret til at henvende sig ved krypteret e-post til myndighederne og krav på også at få svar via sikker e-post, hvis det ønskes. Der henvises til eDag2 aftalen. Kopi af meddelelse af 2. april 2004 om eDag2 vedlægges.
Datatilsynet bemærker i den forbindelse, at der i lovforslaget ikke er krav om, at myndighederne skal sende svar digitalt til de borgere, der måtte ønske det. I forhold til borgerne synes løsningen på dette punkt ringere.
Den foreslåede obligatoriske ordning, som indebærer omfattende håndtering og lagring af borgernes og virksomhedernes breve hos en udvalgt privat virksomhed, må efter Datatilsynets opfattelse give anledning til visse principielle og i den sidste instans politiske overvejelser om hensynet til de berørte personers privatliv.
Hensynet til brugerne kan således efter tilsynets vurdering tale for, at der fortsat gives adgang til at vælge mellem forskellige løsninger til sikker digital kommunikation.
2. Det anføres flere steder, at postløsningen opfylder de relevante krav i persondataloven og sikkerhedsbekendtgørelsen. Medmindre Digitaliseringsstyrelsen er i besiddelse af en nylig revisionsrapport, hvor løsningen er gennemgået i alle detaljer i forhold til persondataloven, skal tilsynet foreslå, at teksten ændres, så det i stedet fremgår, at løsningen skal opfylde de omtalte krav.
3. I bemærkningerne til § 3 anføres i sidste afsnit, at "Finansministeren påser ved udpegning af den systemansvarlige, at denne også i relation til opbevaring af juridiske enheders kommunikation mv., efterlever bestemmelserne i § 41, stk. 3 -5, i lov om behandling af personoplysninger."
Datatilsynet foreslår, at sætningen omformuleres til: Finansministeren påser ved udpegning af den systemansvarlige og i kontraktens løbetid, at den systemansvarlige og eventuelle databehandlere, som denne anvender, også i relation til opbevaring af juridiske enheders kommunikation mv., efterlever bestemmelserne i § 41, stk. 3 -5, i lov om behandling af personoplysninger. Finansministeriet skal orienteres om og godkende alle kontrakter med databehandlere og skal til stadighed vide, hvor oplysningerne behandles, herunder også hvor backup af data og standby-beredskab befinder sig.
4. Efter Datatilsynets opfattelse bør ansvaret for, at datasikkerheden i forbindelse med den digitale post løsning er tilstrækkeligt høj, ligge hos såvel Digitaliseringsstyrelsen som den udpegede systemansvarlige.
Datatilsynet går i den forbindelse ud fra, at Digitaliseringsstyrelsen ved fastlæggelse af sikkerhedsniveauet for den digitale post løsning har foretaget en samlet risikovurdering omfattende alle elementer i løsningen.
Efter Datatilsynets opfattelse er det endvidere nødvendigt, at der ved indretningen af de it-løsninger, som skal anvendes, er opmærksomhed på personers ret til privatliv og databeskyttelse. Beskyttelse af personoplysninger og privatliv bør efter Datatilsynets opfattelse indgå som en integreret del af ethvert digitaliseringsprojekt.
Datatilsynet skal i den forbindelse opfordre til, at der gennemføres en såkaldt privatlivsimplikationsanalyse (PIA).
Datatilsynet skal endvidere opfordre til brug af såkaldte privatlivsfremmende teknologier eller "Privacy Enhancing Technologies".
I forbindelse med tilsynets tidligere dialog med Økonomistyrelsen er det oplyst, at der udformes en form for (light) PIA (Privacy Impact Assessment) vedrørende den fællesoffentlige dokumentboks løsning. Tilsynet har imidlertid aldrig modtaget den udarbejdede PIA.
5. Persondataloven i § 41, stk. 4, indeholder en særlig regel, hvorefter der for oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold.
Denne regel indebærer bl.a., at visse større landsdækkende administrative systemer og specialregistre ikke må føres i udlandet.
Reglen finder efter sin ordlyd alene direkte anvendelse, når det er en offentlig myndighed, der er dataansvarlig.
Datatilsynet finder, at Finansministeriet i lyset af de hensyn, der ligger bag den omtalte bestemmelse, bør overveje, hvor digital post løsningen fysisk må afvikles og supporteres.
6. Datatilsynet skal gøre opmærksom på, at "personfølsomme oplysninger", som er anvendt i lovforslaget på side 7, ikke er et begreb, som anvendes i lovgivningen. Det er endvidere tilsynets erfaring, at udtrykket i praksis ofte giver anledning til misforståelser, da der ikke findes en entydig definition. I stedet kan f.eks. anføres "følsomme personoplysninger", hvilket omfatter de kategorier af oplysninger af følsom karakter, som er omfattet af persondatalovens §§ 7 og 8.
7. Datatilsynet skal i øvrigt henholde sig til tilsynets udtalelse af 5. januar 2012 i forbindelse med præhøringen over lovforslaget.
8. For god ordens skyld skal Datatilsynet bemærke, at ved udarbejdelse af bekendtgørelser, cirkulærer eller lignende generelle retsforskrifter, der har betydning for beskyttelsen af privatlivet i forbindelse med behandling af oplysninger, skal der indhentes en udtalelse fra Datatilsynet, jf. persondatalovens § 57.
Kopi af dette brev er dags dato sendt til Justitsministeriets Lovafdeling.